Nick Security Log

securityを始めとしたNickのブログです

Windows SMB3.1.1 cve-2020-0796 検証

※勉強目的のみ。悪用厳禁。

環境

Windows10 Enterprise 1909(評価版を使用)
f:id:NickShadows:20200321140143p:plain

調査

nmapを実行した。
SMBの3.1.1が有効になっていることがわかる。
f:id:NickShadows:20200321140255p:plain

脆弱な環境でpoc実行

BSODになるpocを実行した。
即座にBSODとなった。
f:id:NickShadows:20200321141454p:plain



poc実行時のパケットを追跡したもの。
f:id:NickShadows:20200321143743p:plain

SMBv3圧縮接続無効化後にpoc実行

参考
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv200005

レジストリエディタで見ても無効化の設定が入っている。
f:id:NickShadows:20200321142942p:plain



pocを実行したが、BSODにはならなかった。
f:id:NickShadows:20200321143556p:plain



poc実行時のパケットを追跡したもの。
無効化前とは内容が異なっている。
f:id:NickShadows:20200321143545p:plain

パッチ適応後にpoc実行

KB4551762を適用した。
f:id:NickShadows:20200321150217p:plain

緩和策は無効化した。
f:id:NickShadows:20200321150454p:plain

poc実行。
緩和策と同様、BSODにならなかった。

poc実行時のパケット。
緩和策と同じっぽい。
f:id:NickShadows:20200321150648p:plain

感想

RCEのpocは出ていなかったが、BSODのpocは出ていた。
すごく簡単で、あっさりBSODになってしまったので驚いた。

一方、対策は取りやすかった。
パッチ適用、緩和策実行でBSODは発生しなくなった。

しかし、pocはまだ研究されつくしていないし、SMBクライアントの検証も出来ていない。
今後には要注意か。

参考

jp.tenable.com

piyolog.hatenadiary.jp