解读“重定向SMB”攻击

前几天Cylance发布了一个影响Windows系统的漏洞,攻击者可以通过重定向到SMB协议的方式,利用“中间人攻击”来盗取用户认证信息。这个攻击究竟是怎么回事?“重定向SMB”又是什么呢?电脑管家漏洞防御团队对这些问题做了详细的技术分析,现将分析结果分享给大家。

0x01 SMB/SMB2(Server Message Block)


先简单介绍一下这次事件的主角SMB。

SMB是对CIFS(Common Internet File System)协议的扩展,主要用于访问网络上的共享文件以及打印服务。SMB和其它协议的关系如下:

enter image description here

SMB可以直接使用TCP端口进行传输(端口445),也可以使用NetBIOS进行传输(TCP端口139)。以直接TCP端口传输为例,每一条SMB消息必须有一个4字节的包头。包头第一个字节为0(network byte order,下同),紧跟着的3字节表示SMB消息的长度;包体是变长的。

enter image description here

在windows vista以后,引入了SMB2协议,在原有的SMB协议基础上扩展了部分字段。

SMB/SMB2认证有多种协议,使用最多的就是NTLM认证协议。

NTLM支持 Challenge/Response方式进行加密通信,安全认证的消息序列如下:

enter image description here

0x02 利用HTTP重定向到SMB协议


以Win7x86+IE11为例,看看IE如何处理HTTP返回的重定向请求。

enter image description here

enter image description here

IE获得HTTP请求返回的状态码后,如果是代表重定向的301、302、303、307,跳转到处理重定向的逻辑,调用CINetHttp::RedirectRequest处理重定向请求。

构造一个重定向到file协议的网页

enter image description here

当IE访问这个网页时,可以抓到访问SMB服务器的数据包

enter image description here

可见本机当前用户的登录凭证通过SMB2协议发送服务器进行认证了。如果这个服务器(上图中的10.4.75.32)是被恶意劫持过的“中间人”,那么用户的登录凭证就泄漏了。

可能的攻击方式不局限于网页访问,只要能够劫持正常的HTTP网络请求,就可以重定向到SMB协议将个人信息发送到恶意服务器上。

0x03 防范建议


可以看到,重定向到SMB协议是一个很大的隐患,非用户主动发起的SMB请求都应该禁止;通过SMB协议访问外网共享服务器时也需要特别谨慎。

作为防范建议,可以关闭对TCP 139和445端口的访问。如果确实需要访问网络上的共享文件或者是打印服务,在确认服务器可信的前提下,临时打开TCP 139和445的端口访问。

©乌云知识库版权所有 未经许可 禁止转载


30
是234 2016-04-26 19:19:40

04,年还是05年不就有这个了么,网页中放一个共享位置的文件,访问网页就获取HASH,换个名头又出来了?

30
BeenQuiver 2016-03-09 16:59:26

屌屌的赶脚

30
Her0in 2015-11-23 22:07:06

SMB是对CIFS(Common Internet File System)协议的扩展? 这句前后颠倒了。

30
_Evil 2015-04-21 09:19:36

sdadasdasdasd

30
catcat520 2015-04-20 20:17:11

2002年的老漏洞了

30
低调的Y哥 2015-04-19 10:38:14

新版的不能收藏文章了吗。。。。

30
Taro 2015-04-19 10:30:54

我来打个酱油

30
wooyunjiuba 2015-04-18 16:35:41

卧槽 这就重定向了?

30
sharecast 2015-04-18 16:16:27

drops升级了呀,变好看了~~

30
L.N. 2015-04-18 10:18:00

接下来呢!获取登陆凭证,然后呢。。。。

30
懒懒滴1994 2015-04-18 08:12:24

[email protected]

30
sky 2015-04-17 22:17:17

@园长 看的好别扭

30
园长 2015-04-17 21:47:02

为什么验证码在输入框上面

30
Defa 2015-04-17 20:41:40

好厉害好厉害

30
sky 2015-04-17 17:27:37

我就看看

感谢知乎授权页面模版