MS15-083:Windows SMB内存损坏漏洞分析

2015年8月11日微软发布了14个安全补丁，其中就包括一个SMB服务器补丁。在本文我将解释我是如何触发该漏洞的。

微软安全公告MS15-083

在所有的修复补丁中，我对“服务器消息块中的漏洞可能允许远程执行代码”很感兴趣。

“当服务器信息块(SMB)不当处理某些日志记录活动，引发一个经过身份验证的远程代码执行漏洞，最终导致内存损坏。”

受影响的版本包括32位和64位的Windows Vista 和 Windows Server 2008，值得注意的是，这是自2011年以来微软发布的第一个SMB服务修复补丁。

安装补丁

下载“
Windows6.0-KB3073921-x86.msu”补丁之后，我试图进行安装，没想到出现了这个

对此我感到有些意外，因为当安装好一个内核补丁后，操作系统都会进行重启。但在这个例子中，补丁安装程序并没有提示我进行重启。

在“c:\windows\system32\drivers”中我发现“srv.sys”和“srvnet.sys”都被变更了。

另外，我还注意到新的“srvnet.sys”文件日期为2011年4月，新的“srv.sys”文件日期显示正常。

差异阶段–Part 1

将新的“srv.sys”版本(v6.0.6002.19438)与2011年发布的MS11-020版本(v6.0.6002.18407)进行对比，惊奇的发现代码根本就没有任何改动!要说有改动也就是编译的字符串改动了。

我寻找着有关该补丁的一些信息，最终在twitter上找到Greg Linares发的一条有关“srvnet.sys”中代码变动的信息。

我联系上Greg之后确认了补丁安装程序的错误，同时感谢其指点，通过使用“expand.exe”命令手动解压了该补丁。

差异阶段–Part 2

补丁解压完成之后，我发现“srv.sys”和“srvnet.sys”的两个版本。将旧的srvnet.sys”版本(v6.0.6002.18462) 和新版本(v6.0.6002.23746)进行差异比较，两个版本都使用相同的补丁安装程序。

在其中我发现7个函数进行了重要改变，更多的则是改动很小：

RfsTableEnumerate

RfsTable64Enumerate

RfsTable64LookupAndEnumerate

SrvGraftName

SrvLibLogError

SrvNetWskEnableInterface

SrvNetWskOpenListenSocket

通过微软安全公告的描述“某些日志记录活动”，所以我重点关注了下“SrvLibLogError”函数，以下为原始代码与新版本的差异比较：

可以清晰的看到修复了一个整数溢出。

关注“IoAllocateErrorLogEntry”调用代码，可以看到这个修复防止了当日志消息大小大于255字节时“message size”被重新初始化为0。

如果这发生在未打补丁的版本上，没有足够的内存分配给日志消息记录就会产生一个堆溢出。出于某些原因，“message size”变量使用的无符号字符型传递参数是不正确的。在新版本代码中，该变量调整为无符号整型。

差异阶段–开盖有奖

检测“SrvLibLogError”函数在两个版本中的变化，我注意到在Windows 7, Windows 8, Windows 8.1 and Windows 10中这个漏洞依旧存在。

下图为“Windows 10” 64位中漏洞基本块图像，“srvnet.sys” v10.0.10240.16384部分：

另一方面要说的是，该问题在Windows 2008 R2中被静默修复。

尽管在这些操作系统中重现漏洞是被禁止的，阐明“SrvLibLogError”函数通过“srvnet.sys”输出，以及当使用SMBv1建立SMB连接依旧调用“srv.sys”是非常重要的。

这也意味着，任何Windows驱动(官方或者第三方)调用这个输出函数，这个漏洞将会重现。

利用该漏洞可能的方法

一旦检测到该漏洞，最大的挑战便是写exp找到正确的输出触发该漏洞，本例中我们借助SMB协议。

以下插图为所有的影响到“SrvLibLogError”函数的方法

在第六个论点中函数接收一个字符串列表进行记录，在第七个论点中其接收数字字符串进行记录。

顺着调用图表一直调用，我发现一个来自“SrvLibLogSpnError”函数的十分有趣的调用，位于相同的库(srvnet.sys)

继续查找，发现该输出函数仅通过函数进行调用，出现在“srv.sys”和“srv2.sys”.

这也就意味着可以使用SMBv1和v2协议进行攻击。有趣的是，在MS11-020补丁中也调用了“SrvLibLogSpnError”函数

触发阶段–Part 1

使用Windows 7通过执行类似“\\192.168.60.60\shared”命令指向到Windows Server 2008，可以看到通过SMBv2当SMB服务接收到一个“Session Setup Request”包以及“NTLMSSP_AUTH”选项时，“srv2!SrvValidateSecurityBuffer”就被调用了。

以下为影响漏洞函数的第一个要求

“
_SmbServerNameHardeningLevel”变量的值不同于0，这个值我们可以在注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
SmbServerNameHardeningLevel”中查看，该值为“Server SPN target name validation level”策略相关的设定，也是“SMB hardening”的一部分。

触发阶段–Part 2

将值设置完毕之后，新的问题又出现了

“MapSecurityError”函数返回错误代码：0xc00000bb，这也意味着，如果这个值不为0，就不能调用记录函数。

阅读msdn文档，我意识到返回值得意思为“STATUS_NOT_SUPPORTED”

“MapSecurityError”函数接收“QueryContextAttributesW”函数的输出作为参数，位于“ksecdd.sys”

在第二份文档中，我意识到“ulAttribute”参数的值应该设置为0x1b，意思与“
SECPKG_ATTR_CLIENT_SPECIFIED_TARGET”相同。

以下为这个常数的描述：

分析“ksecdd!QueryContextAttributesW”函数的代码，我确认已经不支持该常数了。

这里就矛盾了，因为补丁修复“Windows Vista”和“Windows 2008”中的漏洞，但是这些能够影响到漏洞函数的方法却无法在这些系统中实现!

触发阶段–Part 3

再次浏览微软公告页面，发现了一个参考链接“Extended Protection for Authentication” (EPA).

为了寻找更多有价值的信息，我在“Security Research and Defense Blog”中发现一篇名为Extended Protection for Authentication的文章。

部分阅读：

“微软发布了几个非安全的更新实现身份验证保护延长的机制，用以维护在Windows平台上的身份认证凭证....”

从第一个博客链接中我下载并安装了EPA support for Windows 2008：
https://technet.microsoft.com/library/security/973811

触发阶段–Part 4

EPA安装完成之后，“
SmbServerNameHardeningLevel”注册表键设置为1或者2，启用“File Sharing”选项并关闭“Password protected sharing”选项。“QueryContextAttributesW”函数返回0(“STATUS_SUCCESS”)

当“QueryContextAttributesW”函数的“pBuffer”参数返回这个值，就变得更加有趣了

使用Wireshark进行嗅探，我意识到“pBuffer”参数返回“Target Name”的属性“NTLMv2 Response”结构，包含在“Session Setup AndX Request”包中。

基于连接的SMB版本，这是第三个或者第四个SMB客户端发送的数据包

当我意识到这点，我开始构建和发送“Session Setup AndX Request”数据包，就象这样：

再然后就这样了

利用阶段

微软标记的该漏洞的可利用性分数

现在，我们来看看触发这个漏洞之后到底发生了什么

当尝试释放 “IoAllocateErrorLogEntry”函数分配的当前块(CURRENT CHUNK)，“nt!ExFreePoolWithTag”产生了一个内核异常错误。

最重要的是注意到的是产生堆溢出的池类型(NonPagedPool)，这里给出一个完整的池类型列表

再细看下

“nt!ExFreePoolWithTag”函数检测到下一个头为CORRUPTED。在本例中，我们看到当前块为0x8c7913b8，下一个为0x8c791478，这就说明下一个头为“41 41 41 41 41 41 41 41”

当前块的头为有效值会发生什么？

分析当前块的头，不难发现以下规律：

9 bits (previous chunk size / 8) + 7 bits (misc) + 9 bits (current chunk size / 8) + 7 bits (allocated|free|misc) + 4 bytes (TAG)

我控制着写入的所有数据，所以我可以设置下一个块第一个字段为有效值。

比如，如果“IoAllocateErrorLogEntry”函数分配256 bytes给块(0×100的16进制值)，那么“previous chunk size”的下一个块的头为0×100 / 8 = 0×20

事实上，如果我设置一个正确的值覆盖“previous chunk size”当释放当前块，那么也就不会触发漏洞了，目标也就不会崩溃了。

当我们知道如何绕过第一个BSoD，就可以通过使用各类堆技术实现远程利用的艺术。

利用想法

为了利用这个漏洞，我可以使用一个比较老套的技术“堆合并”。

此外，如果我能够准确控制远程配置，我可以覆盖一个内存对象，这样就获得多个写入的机会。

还有一个选择就是覆盖函数指针的低部分。

我可以覆盖的最大内存大小超过了分配的块，接近2300bytes

在这个漏洞，最重要的利用过程就是利用失效或者Windows内核崩溃，目标将会自动重启。

很明显，利用很棘手。但是我不确定微软给出的漏洞利用性是否正确。

后记

2015年9月8日再次更新了这个漏洞补丁

目前补丁安装程序正常运行

但是，进修复了“SrvLibLogError”函数

另一方面Windows XP和Windows 2003由于停止维护，漏洞依旧存在