[[185947]]

前言

CVE-2017-0016 SMB 0 day 漏洞可導(dǎo)致Windows系統(tǒng)拒絕服務(wù)，本篇文章主要講解漏洞在web應(yīng)用上的利用。

2017年2月2日，安全研究人員公布了存在于Microsoft Windows SMB中的0 day 漏洞(CVE-2017-0016)，受影響系統(tǒng)版本有Windows 8.1，Windows 10，Windows Server 2012 R2及 Windows Server 2016.當(dāng)客戶端訪問(wèn)惡意SMB服務(wù)端時(shí)，攻擊者能夠造成其拒絕服務(wù)(denial of service，DoS)。研究人員還發(fā)布了PoC來(lái)利用這個(gè)安全問(wèn)題。

為了利用這個(gè)漏洞，受影響終端必須訪問(wèn)惡意SMB服務(wù)器，這個(gè)利用門(mén)檻富有挑戰(zhàn)性。不過(guò)，SecureWorks 研究人員確認(rèn)2015年發(fā)布的“重定向至SMB攻擊”能夠成功的利用本次的SMB 0 day。

連鎖攻擊來(lái)利用SMB zero-day

后文描述來(lái)怎么通過(guò)結(jié)合SMB重定向漏洞和SMB 0 day 漏洞來(lái)攻擊windows系統(tǒng)。

1. 攻擊者在自己控制的系統(tǒng)中運(yùn)行PoC(見(jiàn)圖1)，攻擊者控制的系統(tǒng)本例中運(yùn)行PoC(Win10.py)和監(jiān)聽(tīng)TCP端口445

圖一 攻擊者控制的系統(tǒng)運(yùn)行著SMB 0 day 利用代碼(來(lái)源：SecureWorks)

2. 攻擊者在另外一個(gè)系統(tǒng)設(shè)置并運(yùn)行一個(gè)web服務(wù)。

3. 攻擊者將圖2中列出的“redirect-smb.php”PHP文件放在公共目錄中。 此PHP文件使用了SMB重定向漏洞。

圖2 放入公共目錄的php文件(來(lái)源：SecureWorks)

4. 使用受害者的Windows 10系統(tǒng)上的Internet Explorer訪問(wèn)攻擊者的Web服務(wù)器，受害者單擊與“redirect-smb.php”文件相對(duì)應(yīng)的鏈接(見(jiàn)圖3)

圖3 受害者點(diǎn)擊php惡意鏈接(來(lái)源：SecureWorks)

5. 單擊此鏈接將受害者的系統(tǒng)重定向到攻擊者的SMB服務(wù)器并啟動(dòng)DoS攻擊(見(jiàn)圖4)

圖4 發(fā)送SMB DoS利用代碼到受害者的系統(tǒng)(來(lái)源：SecureWorks)

6. 一段時(shí)間后，受害者Windows 10系統(tǒng)崩潰，顯示藍(lán)屏(BSOD)，見(jiàn)圖5，且自動(dòng)重啟。

圖5 執(zhí)行SMB利用代碼后受害者系統(tǒng)顯示藍(lán)屏(來(lái)源：SecureWorks)

相關(guān)聯(lián)的攻擊方法

SecureWorks研究人員發(fā)現(xiàn)了其他可能與“重定向到SMB”漏洞一樣有效的攻擊方法。 圖6顯示了通過(guò)超鏈接形式引入SMB DoS利用代碼的HTML代碼，圖7顯示了通過(guò)引入圖像的形式鏈接SMB DoS利用代碼的HTML代碼。

圖6 超鏈接至SMB Dos利用代碼(來(lái)源：SecureWorks)

圖7 引入圖像連接SMB Dos利用代碼(來(lái)源：SecureWorks)

SecureWorks研究人員在主流的Web瀏覽器上測(cè)試了這些攻擊方法，表1列出了結(jié)果。 Internet Explorer和Edge是可利用的。 Firefox和Google Chrome不可利用，因?yàn)槟J(rèn)情況下禁用UNC路徑。

表1 web瀏覽器版本及受影響情況

通過(guò)web應(yīng)用攻擊

SecureWorks研究人員還發(fā)現(xiàn)這些攻擊方法還可以與web應(yīng)用漏洞結(jié)合攻擊。

例如，圖8 所示PHP代碼利用未驗(yàn)證的重定向漏洞展示Dos 利用代碼，圖9 所示攻擊鏈接。

圖8 PHP例子展示Dos利用(來(lái)源：SecureWorks)

圖9 攻擊鏈接例子(來(lái)源：SecureWorks)

通過(guò)訪問(wèn)鏈接，SMB重定向漏洞被執(zhí)行(見(jiàn)圖10)

圖10 受害者點(diǎn)擊鏈接(來(lái)源：SecureWorks)

圖11 所示為瀏覽器發(fā)出的HTTP請(qǐng)求，圖12所示為服務(wù)器返回的HTTP響應(yīng)，響應(yīng)包含重定向至SMB

圖11 HTTP請(qǐng)求(來(lái)源：SecureWorks)

圖12 HTTP響應(yīng)(來(lái)源：SecureWorks)

結(jié)果為，受害者Windows 10 系統(tǒng)崩潰，顯示藍(lán)屏(BSOD)見(jiàn)圖13

圖13 受害者系統(tǒng)藍(lán)屏 (來(lái)源：SecureWorks)

此結(jié)果表明未驗(yàn)證的重定向漏洞可用于利用SMB DoS。 還可以使用其他Web應(yīng)用程序漏洞，如跨站點(diǎn)腳本(XSS)，HTTP標(biāo)頭注入，因?yàn)榭梢允褂眠@些漏洞放置攻擊鏈接或重定向。

總結(jié)

SecureWorks分析表明，可以使用Web應(yīng)用程序漏洞(如跨站點(diǎn)腳本(XSS)，HTTP標(biāo)頭注入和未驗(yàn)證的重定向)執(zhí)行SMB 0 day 攻擊。 當(dāng)受害者單擊惡意鏈接時(shí)，可以對(duì)受害者的Windows系統(tǒng)執(zhí)行SMB DoS攻擊。 SecureWorks研究人員建議用戶在發(fā)布之后快速執(zhí)行2017年3月的Windows Update。 作為臨時(shí)措施，相關(guān)人員應(yīng)考慮阻止從本地網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的出站SMB連接(端口139/TCP，445/TCP，137/UDP和138/UDP)。

注：本文僅用于交流學(xué)習(xí)與安全研究，請(qǐng)勿對(duì)文中提及的內(nèi)容進(jìn)行惡意使用!本平臺(tái)及作者對(duì)讀者的之后的行為不承擔(dān)任何法律責(zé)任。