【漏洞演示视频】Windows SMBv3 Tree Connect响应拒绝服务漏洞

Windows SMBv3 Tree Connect 响应拒绝服务漏洞                     

              以下内容来自千里目安全实验室           

                                                                                       

漏洞描述

近期，微软曝高危 SMB TreeConnect 响应拒绝服务漏洞，CVE 编号 CVE-2017-0016。攻击者利用该漏洞通过诱使有漏洞的 SMB 客户端连接到一台恶意构造的 SMB 服务器，导致客户端操作系统系统蓝屏崩溃。

为了让大家更直观的了解漏洞造成的危害，千里目安全实验室亲情录制攻击视频供大家观赏。

千里百科

Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的，用于在计算机间共享文件、打印机等。

漏洞分析

在演示环境中，首先搭建一个恶意的 SMB 服务器（图左），诱使客户端（图右）发起请求：

客户端发起请求，导致崩溃蓝屏：

根据漏洞复现，导致系统崩溃的情况，找到错误日志：

进一步追踪，查看崩溃时内存转储信息：

经分析调试，此时上图中参数 rcx 为 0，是空指针，当 SMBv3 Tree Connect 应答字符超过一定数量的时候，导致此空指针引用异常，引发系统崩溃蓝屏。

漏洞影响

据统计，在 1 月份全球 PC 操作系统市场上，微软 Windows 系统占据了九成以上份额，其中最新的 Windows 10 的份额突破了 25％，这意味着在每四台电脑上，就有一台运行了微软最新、最强大的 Windows 10 操作系统。此漏洞主要影响 Windows Server 2012/2016、Win8/8.1 以及 Win10 系统。攻击者伪装成一个恶意 SMB 服务器，诱使客户端发起 SMB 请求来触发漏洞，导致客户端拒绝服务。

POC：https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

漏洞修复建议

1、此漏洞存在于 SMB 客户端（mrxsmb20.sys），已公开的 POC 可以导致系统崩溃，并且微软尚未发布补丁。攻击者可以通过 445 等远程端口，或中间人攻击，或网页诱骗用户点击触发漏洞。千里目安全实验室建议企业客户可以将本地网络至广域网的外传 SMB 连接屏蔽掉（TCP 139/445 端口、以及 UDP 137/138 端口）。(参考来源 CNVD )

2、使用某公司下一代防火墙的用户请升级 IPS 规则库到 20170207 及其以上版本，可轻松防御针对此漏洞的攻击。

关注千里目安全实验室

                                                                                 

还不错，来支持一下

很好  时刻关注，谢谢分享

       
IPS漏洞特征识别库
2017-02-15 日志详情
2017-02-15

不觉明历

响应及时。

看着这句就觉得霸气哦  使用某公司下一代防火墙的用户请升级 IPS 规则库到 20170207 及其以上版本，可轻松防御针对此漏洞的攻击。

太好了

好久没新的了