漏洞预警|UPnP协议漏洞CallStranger曝光;新Windows SMB协议漏洞
漏洞预警
UPnP协议漏洞CallStranger曝光
漏洞信息
近期,国外安全研究员披露了一个编号为CVE-2020-12695的UPnP(通用即插即用)协议漏洞CallStranger。该漏洞使黑客可以滥用UPnP协议使用SUBSCRIBE功能将流量发送到任意目的地,这样的行为会导致恶意攻击者发动分布式拒绝服务(DDOS)攻击,数据泄露和其他网络行为,如扫描内部端口,访问其核心区域等。专家建议不应该将UPnP服务暴露在公网,但是在shodan搜索引擎目前已发现存在数百万个设备。
影响版本
2020年4月17日之前生效的UPnP协议版本
漏洞分析
CallStranger漏洞是由UPnP SUBSCRIBE函数中的Callback标头值可以由攻击者控制引起的,它启用了类似于SSRF的漏洞。此漏洞可以用于绕过DLP和网络安全设备来窃取数据、利用公开暴露的互联网设备发起DDOS攻击、从面向互联网的UPnP设备扫描其内部端口。该漏洞由于是协议漏洞,暂时没有可用补丁,所以可能会受到大量恶意攻击者的批量利用,在此还是建议用户禁用UPnP SUBSCRIBE功能并确保需要明确的用户同意才能以任何适当的网络限制启用SUBSCRIBE。另外用户可用以下脚本来验证是否受该漏洞影响:
参见https://github.com/yunuscadirci/CallStranger
SMBleed:新Windows SMB协议漏洞(CVE-2020-1206)
漏洞信息
2020年6月9日,安全研究员发现一个新的windows SMB协议漏洞,编号为CVE-2020-1206。该漏洞存在于SMB的解压缩功能中,与SMBGhost(CVE-2020-0796)的功能相同,该功能在三个月前就被发现易受到网络之间传播的恶意软件攻击。
该漏洞可被攻击者远程利用造成内存信息泄露,并且SMBleed漏洞可与未修补的Windows 10系统上的SMBGhost结合,以实现远程代码执行效果。
影响范围
Microsoft服务器消息块3.1.1(SMBv3)协议
漏洞分析
在之前的SMBGhost漏洞中,由于利用了Srv2DecompressData中缺少整数溢出检查的功能,该函数接收客户端发送的压缩消息,在OriginalCompressedSegmentSize字段中分配所需的内存量并解压缩数据,那么如果将OriginalCompressedSegmentSize分配了一个非常大的值,便可能造成溢出,微软虽然修复了这个漏洞,但是却依然遗留了一个严重的bug,那就是如果为OriginalCompressedSegmentSize设置一个较小的值(x + 0x1000),则内核的未初始化数据将被视为消息的一部分,这主要是因为在FinalCompressedSize函数中更新以保留CompressedBufferSize的值,效果如下图:
根据Github上作者ZecOps编写的POC需要凭据和具有写权限的共享,但是该错误适用于每一条信息,所以无需身份验证即可利用。并且泄漏的内存来自先前分配的NonPagedPoolNx中,由于我们控制了分配的大小,因此可以在某种程度上控制泄漏的数据。
参考:https://github.com/ZecOps/CVE-2020-1206-POC
本周安全态势分析
本周发生的事件有UPnP协议漏洞CallStranger和编号为CVE-2020-1206的新Windows SMB协议漏洞SMBleed。
- 用户评论
