Windows-SMB-Ghost-CVE-2020-0796漏洞分析1

【Windows SMB Ghost (CVE-2020-0796)漏洞分析】 Windows SMB Ghost漏洞，也称为CVE-2020-0796，是2020年3月微软在其官方SRC（Security Response Center）发布的一个安全公告中所描述的重大安全问题。这个漏洞存在于Microsoft Server MessageBlock (SMB) 3.1.1协议的客户端和服务器端，允许远程攻击者在目标SMB Server或Client上执行任意代码，具有严重的安全隐患。 漏洞细节： 该漏洞的根本原因在于Windows驱动srv2.sys中处理SMBv3压缩数据包的解压函数Srv2DecompressData存在验证不足的问题。当接收到包含压缩数据的SMB数据报文时，函数未能严格检查OriginalCompressedSegmentSize和Offset/Length字段的合法性。这两个字段直接影响内存分配函数SrvNetAllocateBuffer的参数。如果攻击者构造特定的畸形数据包，使得OriginalCompressedSegmentSize+Offset小于实际所需内存大小，那么在后续调用解压函数SmbCompressionDecompress时，可能会导致内存越界读取或写入，从而引发安全漏洞。 漏洞复现与利用： 研究人员在Windows 10 1903版本上成功复现了该漏洞，验证程序通过建立到SMS server的会话并发送精心构造的畸形压缩数据包，能够在目标系统上实现本地提权。提权后，程序可以创建一个具有system权限的cmd shell，为攻击者提供了对系统的完全控制。 利用流程： 1. 验证程序首先创建到SMB服务器的会话连接。 2. 获取自身token数据结构中privilege成员在内核中的地址。 3. 使用会话发送畸形的压缩数据包，触发漏洞。 安全建议： 为了防范此漏洞，微软已经发布了相应的补丁（ADV200005），用户应及时安装官方更新，禁用SMBv3的压缩功能。此外，加强网络边界防护，限制未经授权的SMB访问，也是防范此类攻击的重要措施。 总结： CVE-2020-0796，即Windows SMB Ghost漏洞，是一个严重威胁Windows系统安全的远程代码执行漏洞。由于SMB协议在Windows系统中的广泛使用，该漏洞的影响面非常大。及时修复和采取防护措施对于防止恶意攻击至关重要。同时，了解漏洞的工作原理和利用方式，有助于提升网络安全防护能力。