漏洞描述

近期，微軟曝高危 SMB TreeConnect響應拒絕服務漏洞，CVE編號CVE-2017-0016。攻擊者利用該漏洞通過誘使有漏洞的SMB用戶端連接到一臺惡意構造的SMB服務器，導致用戶端作業系統系統藍屏崩潰。

為了讓大家更直觀的瞭解漏洞造成的危害，千里目安全實驗室親情錄製攻擊視頻供大家觀賞。

千里百科

Microsoft服務器消息塊（SMB）協定是Microsoft Windows中使用的一項Microsoft網絡文件共亯協定。在大部分windows系統中都是默認開啟的，用於在電腦間共用檔、打印機等。

漏洞分析

在演示環境中，首先搭建一個惡意的SMB服務器（圖左），誘使用戶端（圖右）發起請求：

用戶端發起請求，導致崩潰藍屏：

根據漏洞複現，導致系統崩潰的情况，找到錯誤日誌：

進一步追跡，查看崩潰時記憶體轉儲資訊：

經分析調試，此時上圖中參數rcx為0，是空指針，當SMBv3 Tree Connect應答字元超過一定數量的時候，導致此空指針引用异常，引發系統崩潰藍屏。

漏洞影響

據統計，在1月份全球PC作業系統市場上，微軟Windows系統佔據了九成以上份額，其中最新的Windows 10的份額突破了25%，這意味著在每四臺電腦上，就有一臺運行了微軟最新、最强大的Windows 10操作系統。此漏洞主要影響Windows Server 2012/2016、Win8/8.1以及Win10系統。攻擊者偽裝成一個惡意SMB服務器，誘使用戶端發起SMB請求來觸發漏洞，導致用戶端拒絕服務。

POC:https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

漏洞修復建議

1、此漏洞存在於SMB用戶端（mrxsmb20.sys），已公開的POC可以導致系統崩潰，並且微軟尚未發佈補丁。攻擊者可以通過445等遠程埠，或中間人攻擊，或網頁誘騙用戶點擊觸發漏洞。千里目安全實驗室建議企業客戶可以將本地網絡至廣域網的外傳SMB連接遮罩掉（TCP 139/445埠、以及UDP 137/138埠）。（參攷來源 CNVD ）

2、使用深信服下一代防火牆的用戶請陞級IPS規則庫到20170207及其以上版本，可輕鬆防禦針對此漏洞的攻擊。

推薦閱讀：

記某次應急回應的社工分析

123456，芝麻開門——淺談弱口令的危害

千里目安全實驗室協助CNCERT共築安全生態