一、漏洞介绍

2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。

启明星辰ADLab安全研究人员在对该漏洞进行研究的过程中发现目前流传的一些漏洞分析存在某些问题,因此对该漏洞进行了深入的分析,并在Windows 10系统上进行了复现。

二、漏洞复现

采用Windows 10 1903版本进行复现。在漏洞利用后,验证程序提权结束后创建了一个system权限的cmd shell,如图1所示。

Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客
Windows SMB Ghost(CVE-2020-0796)漏洞分析-WordPress极简博客

图17 SmbCompressionDecompres赋值FinalUnCompressedSize

七、漏洞修复建议

CVE-2020-0796是内存破坏漏洞,精心利用可导致远程代码执行,同时网络上已经出现该漏洞的本地提权利用代码。在此,建议受影响版本Windows用户及时根据微软官方漏洞防护公告对该漏洞进行防护。