※勉強目的のみ。悪用厳禁
環境
Windows10 Enterprise 1909(評価版を使用)

調査
nmapを実行した。
SMBの3.1.1が有効になっていることがわかる。

脆弱な環境でpoc実行
BSODになるpocを実行した。
即座にBSODとなった。

poc実行時のパケットを追跡したもの。

SMBv3圧縮接続無効化後にpoc実行
参考
SMBv3 の圧縮の無効化に関する Microsoft ガイダンス
レジストリエディタで見ても無効化の設定が入っている。

pocを実行したが、BSODにはならなかった。

poc実行時のパケットを追跡したもの。
無効化前とは内容が異なっている。

パッチ適応後にpoc実行
KB4551762を適用した。

緩和策は無効化した。

poc実行。
緩和策と同様、BSODにならなかった。
poc実行時のパケット。
緩和策と同じっぽい。

感想
RCEのpocは出ていなかったが、BSODのpocは出ていた。
すごく簡単で、あっさりBSODになってしまったので驚いた。
一方、対策は取りやすかった。
パッチ適用、緩和策実行でBSODは発生しなくなった。
しかし、pocはまだ研究されつくしていないし、SMBクライアントの検証も出来ていない。
今後には要注意か。
参考
CVE-2020-0796: Microsoft Server Message Block SMBv3 におけるワーム可能なリモートコード実行の脆弱性(ADV200005)
コメント