Vulnerabilidad 0Day SMB3

Buenos días, bloggeros.

En esta publicación quiero compartirles la PoC para explotar una vulnerabilidad en SMB3 de Microsoft Windows.

Ya fue reportada y estamos esperando que prontamente se publique el parche correspondiente.

¿Qué es SMB y cómo funciona?
El Server Message Block (SMB) Protocol es un protocolo de uso compartido de archivos de red. El conjunto de paquetes de mensajes que define una determinada versión del protocolo se llama un dialecto. El Common Internet File System (CIFS) Protocolo es un dialecto de SMB. Tanto SMB y CIFS también están disponibles en VMS, varias versiones de Unix, y otros sistemas operativos.
Para tener en cuenta con las distintas versiones que hay en el mercado de acuerdo a nuestro sistema operativo:
  • CIFS – La versión antigua de SMB que era parte de Microsoft Windows NT 4.0 en 1996. SMB1 reemplaza esta versión.
  • SMB 1.0 (o SMB1) – La versión utilizada en Windows 2000, Windows XP, Windows Server 2003 y Windows Server 2003 R2
  • SMB 2.0 (o SMB2) – La versión utilizada en Windows Vista (SP1 o posterior) y Windows Server 2008
  • SMB 2.1 (o SMB2.1) – La versión utilizada en Windows 7 y Windows Server 2008 R2 SMB 3.0 (o SMB3) – La versión utilizada en Windows 8 y Windows Server 2012
  • SMB 3.02 (o SMB3) – La versión utilizada en Windows 8.1 y Windows Server 2012 R2
Una conexión simple con un servidor SMB consta de:
  1. Establecer una conexión virtual.
  2. Negociar el protocolo.
  3. Definir parámetros de sesión.
  4. Iniciar el Tree Connection hacia el recurso.
El problema surge luego de del mensaje Tree Connect Request, donde el servidor responde con un mensaje Tree Connect Response que aparentemente está bien, pero que en realidad tiene un tamaño excesivo, donde la cabecera NetBios del paquete tiene fijados (intencionalmente) 1580B, los 64B del SMB2 header y, finalmente, el Three Connect Response Message de 8B.

Haciendo uso del script en Python publicado en https://github.com/lgandx/PoC , podemos montar un fake SMB server, hacer que un cliente con versiones de Windows 8 o superiores se conecten y generar una BSOD.

Proceso de conexión entre el cliente y el falso SMB.
Lo he probado con Windows10 y no pude explotarlo, pero sin con Windows Server 2012R2.


 A divertirse!

Saludos... y happy config!

Comentarios

  1. Abel07 febrero, 2017 00:32

    Interesantes sus viajes por la galaxia, sysdamin. Son territorios donde no practico la aventura, así que le agradezco que comparta su bitácora ;-)

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

Zabbix en dos días (día 1)

Imagen
Buenas tardes bloggeros! Esta tarde de domingo me propuse a hacer un pequeñísimo resumen de lo que fue mi aprendizaje acelerado de Zabbix . Esta poderosa herramienta para monitoreo de servicios, hosts, routers y switches es fundamental, desde mi punto de vista, en cualquier organización que cuente con una infraestructura de red donde haya servicios que son críticos y que deben tener alta disponibilidad, si es que de ellos depende nuestro negocio. Ya venía con esta idea desde que entré a trabajar de deployar una herramienta de estas características. Así que investigando, leyendo y probando llegué a Zabbix. Pasé por Nagios y The Dude; la primera me parecía demasiado costosa en tiempo para que funcione aunque sea en un entorno de prueba, ya que para cada host que haya que dar de alta es preciso configurar un fichero; la segunda que pertenece a la gente de Mikrotik no es de código abierto y solo puede ejecutarse en entorno Windows. Como utilizo tecnologías open source y c...
Leer más

OpenVPN para todos :D

Imagen
Buenas tardes, bloggeros! En esta entrada les comparto la configuración de un servidor OpenVPN, algo extremadamente útil y necesario para establecer conexiones privadas y seguras sobre una red totalmente insegura, como por ejemplo INTERNET. Es realmente sencillo, aunque creo necesario interiorzarse en qué es una VPN, su funcionamiento y cuáles son los tipos de VPN junto a sus ventajas y desventajas. En mi caso elegí OpenVPN, por ser de código abierto, estar disponible en los repositorios de Debian, hay mucha documentación disponible y configurarla es simple. Como detalle en la configuración del servidor que usé, verán que elegí usar el adaptador tap  por una cuestión de comodidad de crear un servidor que permitiera múltiples clientes conectados a un bridge , es decir que estarían todos "enchufados a un mismo switch". Usar una interface de red tap tiene sus ventajas y desventajas. Sin más, acá va el fichero server.conf con las directivas: local 192...
Leer más

Sincronizar con rsync

Imagen
Buenas tardes, internautas bloggeros. En esta entrada les voy a contar sobre rsync , una herramienta tremenda que me permitió ahorrar mucho tiempo a la hora de copiar grandes volúmenes de información de una pc a otra. Tal como dice la Wikipedia, rsync es una aplicación libre para sistemas de tipo Unix y Microsoft Windows que ofrece transmisión eficiente de datos incrementales, que opera también con datos comprimidos y cifrados. Mediante una técnica de delta encoding , permite sincronizar archivos y directorios entre dos máquinas de una red o entre dos ubicaciones en una misma máquina, minimizando el volumen de datos transferidos. Una característica importante de rsync no encontrada en la mayoría de programas o protocolos es que la copia toma lugar con sólo una transmisión en cada dirección. rsync puede copiar o mostrar directorios contenidos y copia de archivos, opcionalmente usando compresión y recursión. En mi caso, tenía que sacar todos los archivos personales...
Leer más