漏洞预警|UPnP协议漏洞CallStranger曝光;新Windows SMB协议漏洞

来源:上海控安
2020-06-15
2844


漏洞预警





UPnP协议漏洞CallStranger曝光


漏洞信息

近期,国外安全研究员披露了一个编号为CVE-2020-12695的UPnP(通用即插即用)协议漏洞CallStranger。该漏洞使黑客可以滥用UPnP协议使用SUBSCRIBE功能将流量发送到任意目的地,这样的行为会导致恶意攻击者发动分布式拒绝服务(DDOS)攻击,数据泄露和其他网络行为,如扫描内部端口,访问其核心区域等。专家建议不应该将UPnP服务暴露在公网,但是在shodan搜索引擎目前已发现存在数百万个设备。



影响版本

2020年4月17日之前生效的UPnP协议版本


漏洞分析

CallStranger漏洞是由UPnP SUBSCRIBE函数中的Callback标头值可以由攻击者控制引起的,它启用了类似于SSRF的漏洞。此漏洞可以用于绕过DLP和网络安全设备来窃取数据、利用公开暴露的互联网设备发起DDOS攻击、从面向互联网的UPnP设备扫描其内部端口。该漏洞由于是协议漏洞,暂时没有可用补丁,所以可能会受到大量恶意攻击者的批量利用,在此还是建议用户禁用UPnP SUBSCRIBE功能并确保需要明确的用户同意才能以任何适当的网络限制启用SUBSCRIBE。另外用户可用以下脚本来验证是否受该漏洞影响:

参见https://github.com/yunuscadirci/CallStranger




SMBleed:新Windows SMB协议漏洞(CVE-2020-1206)


漏洞信息

2020年6月9日,安全研究员发现一个新的windows SMB协议漏洞,编号为CVE-2020-1206。该漏洞存在于SMB的解压缩功能中,与SMBGhost(CVE-2020-0796)的功能相同,该功能在三个月前就被发现易受到网络之间传播的恶意软件攻击。

该漏洞可被攻击者远程利用造成内存信息泄露,并且SMBleed漏洞可与未修补的Windows 10系统上的SMBGhost结合,以实现远程代码执行效果。



影响范围

Microsoft服务器消息块3.1.1(SMBv3)协议


漏洞分析

在之前的SMBGhost漏洞中,由于利用了Srv2DecompressData中缺少整数溢出检查的功能,该函数接收客户端发送的压缩消息,在OriginalCompressedSegmentSize字段中分配所需的内存量并解压缩数据,那么如果将OriginalCompressedSegmentSize分配了一个非常大的值,便可能造成溢出,微软虽然修复了这个漏洞,但是却依然遗留了一个严重的bug,那就是如果为OriginalCompressedSegmentSize设置一个较小的值(x + 0x1000),则内核的未初始化数据将被视为消息的一部分,这主要是因为在FinalCompressedSize函数中更新以保留CompressedBufferSize的值,效果如下图:



根据Github上作者ZecOps编写的POC需要凭据和具有写权限的共享,但是该错误适用于每一条信息,所以无需身份验证即可利用。并且泄漏的内存来自先前分配的NonPagedPoolNx中,由于我们控制了分配的大小,因此可以在某种程度上控制泄漏的数据。

参考:https://github.com/ZecOps/CVE-2020-1206-POC



本周安全态势分析


本周发生的事件有UPnP协议漏洞CallStranger和编号为CVE-2020-1206的新Windows SMB协议漏洞SMBleed。

1
UPnP协议是允许网络设备,如个人电脑,打印机,Internet网关,Wi-Fi接入点和移动设备无缝发现网络上彼此的存在,并建立功能性网络数据共享,通信和娱乐服务。由于UPnP协议的SUBSCRIBE功能允许将流量发送到任意目的地,这样便造成了这次漏洞的产生,攻击者可以滥用SUBSCRIBE功能发动分布式拒绝服务(DDOS)攻击、获取敏感信息和扫描内部网络的操作。建议有使用该协议的企业用户禁用UPnP SUBSCRIBE功能,且不在公网上暴露使用UPnP协议的设备。
2
SMBleed漏洞是存在于与SMBGhost功能相似的SMB的解压缩功能中,该服务一直以来就被发现存在多种高危漏洞。在此建议如果不是必要服务,可以禁止使用SMB服务,并在防火墙上配置相关的规则,另外也可以关注官方动态及时安装补丁,避免用户电脑遭遇入侵等。



收藏
点赞
2000