Windows SMB Ghost（CVE-2020-0796）误差剖析

宣布时间 2020-04-09

误差先容

2020年3月10日，，，，，，，微软在其官方SRC宣布了CVE-2020-0796的清静通告（ADV200005，，，，，，，Microsoft Guidance for Disabling SMBv3 Compression）,通告体现在Windows SMBv3版本的客户端和效劳端保存远程代码执行误差。。。。同时指出该误差保存于MicroSoft Server Message Block 3.1.1协议处置惩罚特定请求包的功效中，，，，，，，攻击者使用该误差可在目的SMB Server或者Client中执行恣意代码。。。。

鉴黑担保网ADLab清静研究职员在对该误差举行研究的历程中发明现在撒播的一些误差剖析保存某些问题，，，，，，，因此对该误差举行了深入的剖析，，，，，，，并在Windows 10系统上举行了复现。。。。

误差复现

接纳Windows 10 1903版本举行复现。。。。在误差使用后，，，，，，，验证程序提权竣事后建设了一个system权限的cmd shell，，，，，，，如图1所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图1 CVE-2020-0796外地提权

误差基来源理

CVE-2020-0796误差保存于受影响版本的Windows驱动srv2.sys中。。。。Windows SMB v3.1.1 版本增添了对压缩数据的支持。。。。图2所示为带压缩数据的SMB数据报文的组成。。。。

图2 带压缩数据的SMB数据报文结构

凭证微软MS-SMB2协议文档，，，，，，，SMB Compression Transform Header的结构如图3所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图3 SMB Compression Transform Header数据结构

ProtocolId：4字节，，，，，，，牢靠为0x424D53FC

OriginalComressedSegmentSize：4字节，，，，，，，原始的未压缩数据巨细

CompressionAlgorithm：2字节，，，，，，，压缩算法

Flags ：2字节，，，，，，，详见协议文档

Offset/Length：凭证Flags的取值为Offset或者Length，，，，，，，Offset体现数据包中压缩数据相关于目今结构的偏移

srv2.sys中处置惩罚SMBv3压缩数据包的解压函数Srv2DecompressData未严酷校验数据包中OriginalCompressedSegmentSize和Offset/Length字段的正当性。。。。而这两个字段影响了Srv2DecompressData中内存分派函数SrvNetAllocateBuffer的参数。。。。如图4所示的Srv2DecompressData函数反编译代码，，，，，，，SrvNetAllocateBuffer现实的参数为OriginalCompressedSegmentSize+Offset。。。。这两个参数都直接泉源于数据包中SMB Compression Transform Header中的字段，，，，，，，而函数并未判断这两个字段是否正当，，，，，，，就直接将其相加后作为内存分派的参数(unsigned int类型）。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图4 Srv2DecompressData函数的要害代码

这里，，，，，，，OriginalCompressedSegmentSize+Offset可能小于现实需要分派的内存巨细，，，，，，，从而在后续挪用解压函数SmbCompressionDecompress历程中保存越界读取或者写入的危害。。。。

提权使用历程

现在已果真的针对该误差的外地提权使用包括如下的主要历程：

（1）验证程序首先建设到SMS server的会话毗连（记为session）。。。。

（2）验证程序获取自身token数据结构中privilege成员在内核中的地点（记tokenAddr）。。。。

（3）验证程序通过session发送畸形压缩数据（记为evilData）给SMB server触发误差。。。。其中，，，，，，，evilData包括tokenAddr、权限数据、溢出占位数据。。。。

（4）SMS server收到evilData后触发误差，，，，，，，并修改tokenAddr地点处的权限数据，，，，，，，从而提升验证程序的权限。。。。

（5）验证程序获取权限后对winlogon举行控制，，，，，，，来建设system用户shell。。。。

误差内存分派剖析

首先，，，，，，，看一下已果真使用的evilData数据包的内容，，，，，，，如图5所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图5 提权poc发送的带压缩数据的SMB数据包

数据包的内容很简朴，，，，，，，其中几个要害字段数据如下：

OriginalSize：0xffffffff

Offset：0x10

Real compressed data：13字节的压缩数据，，，，，，，解压后应为1108字节’A’加8字节的token地点。。。。

SMB3 raw data：现实上是由2个8字节的0x1FF2FFFFBC（总长0x10)加上0x13字节的压缩数据组成。。。。

从上面的误差原理剖析可知，，，，，，，误差成因是Srv2DecompressData函数对报文字段缺乏正当性判断造成内存分派不当。。。。在该误差数据包中，，，，，，，OriginalSize 是一个畸形值。。。。OriginalSize + Offset = 0xffffffff + 0x10 = 0xf 是一个很小的值，，，，，，，其将会转达给SrvNetAllocateBuffer举行挪用，，，，，，，下面详细剖析内存分派情形。。。。SrvNetAllocateBuffer的反编译代码如图6。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图6 SrvNetAllocateBuffer内存分派历程

由于传给SrvNetAllocateBuffer的参数为0xf，，，，，，，凭证SrvNetAllocateBuffer的处置惩罚流程可知，，，，，，，该请求内存将从SrvNetBufferLookasides表中分派。。。。这里需要注重的是，，，，，，，变量SrvDisableNetBufferLookAsideList跟注册表项相关，，，，，，，系统默认状态下SrvDisableNetBufferLookAsideList为0。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图7 SrvDisableNetBufferLookAsideList变量初始化历程

SrvNetBufferLookasides表通过函数SrvNetCreateBuffer初始化，，，，，，，现实SrvNetCreateBuffer循环挪用了SrvNetBufferLookasideAllocate分派内存，，，，，，，挪用SrvNetBufferLookasideAllocate的参数划分为[‘0x1100’, ‘0x2100’, ‘0x4100’, ‘0x8100’, ‘0x10100’, ‘0x20100’, ‘0x40100’, ‘0x80100’, ‘0x100100’]。。。。在这里，，，，，，，内存分派参数为0xf，，，，，，，对应的lookaside表为0x1100巨细的表项。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图8 SrvNetCreateBuffer反编译代码

SrvNetBufferLookasideAllocate函数现实是挪用SrvNetAllocateBufferFromPool来分派内存，，，，，，，如图9所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图9 SrvNetBufferLookasideAllocate反编译代码

在函数SrvNetAllocateBufferFromPool中，，，，，，，关于用户请求的内存分派巨细，，，，，，，内部通过ExAllocatePoolWithTag函数分派的内存现实要大于请求值（多出部分用于存储部分内存相关数据结构）。。。。以请求分派0x1100巨细为例，，，，，，，经由一系列判断后，，，，，，，最后分派的内存巨细allocate_size = 0x1100 + E8 + 2*(MmSizeOfMdl + 8)。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图10 SrvNetAllocateBufferFromPool函数反编译代码

内存分派完毕之后，，，，，，，SrvNetAllocateBufferFromPool函数还对分派的内存举行了一系列初始化操作，，，，，，，最后返回了一个内存信息结构体指针作为函数的返回值。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图11 SrvNetAllocateBufferFromPool初始化内存数据

这里需要注重如下的数据关系：SrvNetAllocateBufferFromPool函数返回值return_buffer指向一个内存数据结构，，，，，，，该内存数据结构起始地点同现实分派内存（函数ExAllocatePoolWithTag分派的内存）起始地点的的偏移为0x1150；；；；；；return_buffer+0x18位置指向了现实分派内存起始地点偏移0x50位置处，，，，，，，而最终return_buffer会作为函数SrvNetAllocateBuffer的返回值。。。。其内存结构关系如图12。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图12 SrvNetAllocateBuffer（0xf)返回的内存数据结构

误差内存破损剖析

回到误差解压函数Srv2DecompressData，，，，，，，在举行内存分派之后，，，，，，，Srv2DecompressData挪用函数SmbCompressionDecompress最先解压被压缩的数据。。。。其函数逻辑如图13所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图13 Srv2DecompressData解压压缩数据

现实上，，，，，，，该函数挪用了Windows库函数RtlDecompressBufferEx2来实现解压，，，，，，，凭证RtlDecompressBufferEx2的函数原型来对应剖析SmbCompressionDecompress函数的各个参数。。。。

SmbCompressionDecompress(CompressAlgo，，，，，，，//压缩算法

Compressed_buf，，，，，，，//指向数据包中的压缩数据

Compressed_size，，，，，，，//数据包中压缩数据巨细，，，，，，，盘算获得

UnCompressedBuf,//解压后的数据存储地点，，，，，，，*(alloc_buffer+0x18)+0x10

UnCompressedSize,//压缩数据原始巨细,源于数据包OriginalCompressedSegmentSize

FinalUnCompressedSize)//最终解压后数据巨细

从反编译代码可以看出，，，，，，，函数SmbCompressionDecompress中生涯解压后数据的地点为*(alloc_buffer+0x18)+0x10的位置，，，，，，，凭证内存分派历程剖析，，，，，，，alloc_buffer + 0x18指向了现实内存分派起始位置偏移0x50处，，，，，，，以是拷贝目的地点为现实内存分派起始地点偏移0x60位置处。。。。

在解压历程中，，，，，，，压缩数据解压后将存储到这个地点指向的内存中。。。。凭证evilData数据的结构历程，，，，，，，解压后的数据为占坑数据和tokenAddr。。。�？？？？？？奖吹礁么Φ氐愫�，，，，，，，tokenAddr将笼罩原内存数据结构中alloc_buffer+0x18处的数据。。。。也就是解压缩函数SmbCompressionDecompress返回后，，，，，，，alloc_buffer+0x18将指向验证程序的tokenAddr内核地点。。。�？？？？？？奖蠢倘缤�14和15所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图14 解压拷贝历程

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图15解压完成后内存结构

继续看Srv2DecompressData的后续处置惩罚流程，，，，，，，解压乐成后，，，，，，，函数判断offset的效果不为0。。。。不为0则举行内存移动，，，，，，，内存拷贝的参数如下：

memmove(*(alloc_buffer+0x18)，，，，，，，SMB_payload，，，，，，，offset)

此时，，，，，，，alloc_buffer+0x18已经指向验证程序的tokenAddr内核地点，，，，，，，而SMB_payload此时指向evilData中的权限数据，，，，，，，offset则为0x10。。。。因此，，，，，，，这个内存移动完成后，，，，，，，权限数据将写入tokenAddr处。。。。这意味着，，，，，，，SMS Server乐成修改了验证程序的权限，，，，，，，从而实现了验证程序的提权！

尚有一个细节需要注重，，，，，，，在解压时，，，，，，，Srv2DecompressData函数会判断现实的解压后数据巨细FinalUnCompressedSize是否和数据包中原始数据巨细OriginalCompressedSegmentSize一致，，，，，，，如图16所示。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图16 Srv2DecompressData检查压缩数据巨细

按理来说现实解压后的数据巨细为0x1100，，，，，，，不即是数据包中的原始压缩数据巨细0xffffffff，，，，，，，这里应该进入到后面内存释放的流程。。。。然而，，，，，，，现实上在函数SmbCompressionDecompress中，，，，，，，挪用RtlDecompressBufferEx2乐成后会直接将OriginalCompressedSegmentSize赋值给FinalUnCompressedSize。。。。这也是该误差关于恣意地点写入乐成的要害之一。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图17 SmbCompressionDecompres赋值FinalUnCompressedSize

误差修复建议

CVE-2020-0796是内存破损误差，，，，，，，全心使用可导致远程代码执行，，，，，，，同时网络上已经泛起该误差的外地提权使用代码。。。。在此，，，，，，，建议受影响版本Windows用户实时凭证微软官方误差防护通告对该误差举行防护。。。。

参考链接：

1.https://fortiguard.com/encyclopedia/ips/48773

2.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

3.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

4.https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

5.https://github.com/danigargu/CVE-2020-0796

6.https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962

7.https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntifs/nf-ntifs-rtldecompressbufferex2

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Windows SMB Ghost（CVE-2020-0796）误差剖析

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线