※勉強目的のみ。悪用厳禁。
環境
Windows10 Enterprise 1909(評価版を使用)
調査
nmapを実行した。
SMBの3.1.1が有効になっていることがわかる。
脆弱な環境でpoc実行
BSODになるpocを実行した。
即座にBSODとなった。
poc実行時のパケットを追跡したもの。
SMBv3圧縮接続無効化後にpoc実行
参考
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005
レジストリエディタで見ても無効化の設定が入っている。
pocを実行したが、BSODにはならなかった。
poc実行時のパケットを追跡したもの。
無効化前とは内容が異なっている。
パッチ適応後にpoc実行
KB4551762を適用した。
緩和策は無効化した。
poc実行。
緩和策と同様、BSODにならなかった。
poc実行時のパケット。
緩和策と同じっぽい。
感想
RCEのpocは出ていなかったが、BSODのpocは出ていた。
すごく簡単で、あっさりBSODになってしまったので驚いた。
一方、対策は取りやすかった。
パッチ適用、緩和策実行でBSODは発生しなくなった。
しかし、pocはまだ研究されつくしていないし、SMBクライアントの検証も出来ていない。
今後には要注意か。