srv.sys中若干漏洞(CVE-2017-11780)简介

☆ 漏洞原理(CVE-2017-11780)微软自己定级Important,3月的MS17-010定级Critical。

1) SrvSmbNtRename()

该函数需要认证,空会话无法访问。

微软针对srv!SrvSmbNtRename()的修补方案居然是让它直接作废:

看了一下原来的SrvSmbNtRename()实现,很简单的一段代码,想不出来可能有什么安全风险。

2) SrvOs2GeaListSizeToNt

SrvOs2GeaListSizeToNt存在一个与SrvOs2FeaListSizeToNt完全一样的”漏洞”,但前者必须通过身份认证才能到达,后者则只需要空会话即可到达。MS17-010同时修补了二者,Eternalblue只利用后者。

SrvOs2GeaListSizeToNt()另有一个整数溢出漏洞,MS17-010没有修补,KB4041678修补了。这个漏洞同样可以导致远程执行代码,但需要身份认证。

另有两个函数涉及整数溢出,此次一并修补:

3) SrvSmbQueryQuota

sid即security identifier。

sidListLength、startSidLength、startSidOffset均是客户端可控数据。

其中sidListLength、startSidLength有可能偏小,导致动态分配的结构未被正确初始化。

4) RestartWriteNamedPipe

回顾一个老漏洞。

CVE-2006-1314/MS06-035是这样一个漏洞,srv.sys处理畸型\MAILSLOT\型

Transaction(0x25)报文时存在远程内核态池缓冲区溢出。

分配一个TRANSACTION结构,其中有块内存包含请求报文与响应报文的Setup、Parameter、Data,共6种数据。服务端应该根据客户端的指示(MaxParameterCount)构造响应报文。

但是,对于RestartMailslotWrite()来说,服务端没有遵从MaxParameterCount的建议,固定地产生两个字节的Parameter,这将造成内核态池缓冲区溢出。

微软修补时是在MailslotTransaction()入口处简单地检查MaxParameterCount是否小于2并转错误流程。

CVE-2017-11780修补的RestartWriteNamedPipe()与RestartMailslotWrite()类似。

 

 

发表评论