MicrosoftのSMBに未パッチの脆弱性、Windows 7にも影響 - ITmedia エンタープライズ(情報元のブックマーク数)
SMB2プロトコルに未知のOSをクラッシュさせ、ブルースクリーンにさせることができる脆弱性が存在とのこと、PoCも出ているそうです。
SANS Internet Storm Centerは9月8日、MicrosoftのSMB2プロトコルに未解決の脆弱性が存在し、コンセプト実証(PoC)コードも公開されたとの情報があると伝えた。
MicrosoftのSMBに未パッチの脆弱性、Windows 7 RC版などに影響 - ITmedia エンタープライズ
PoCではリモートからシステムをクラッシュさせることが可能で、OSはWindows 7、Windows Vista、Windows Server 2008が影響を受けることを確認したとSANSは報告。一方、Windows 2000とWindows XPは影響を受けないとしている。
デンマークのセキュリティ企業Secuniaによれば、脆弱性は「srv2.sys」カーネルドライバにおけるエラーに起因する。細工を施したSMBパケットを使って悪用された場合、サービス妨害(DoS)状態に陥る恐れがあるほか、任意のコードを実行される可能性もあるとしている。Secuniaの深刻度評価は5段階で中程度の「Moderately critical」となっている。
Windows 7/Vista/2008に影響があるとのこと。
We have confirmed it affects Windows 7/Vista/Server 2008. The exploit needs no authentication, only file sharing enabled with one 1 packet to create a BSOD. We recommend filtering access to port TCP 445 with a firewall.
InfoSec Handlers Diary Blog - Vista/2008/Windows 7 SMB2 BSOD 0Day
Windows 2000/XP are NOT affected by this exploit.
現時点の回避方法は、TCP/445をFW等で止めるだけ見たいです。
Obviously, a work-around is to shut port 445 at the firewall.
GFI LABS Blog: It’s ba-a-a-ack: Blue Screen of Death
以下のBlogがそうみたいです。
セキュリティ研究者のLaurent Gaffie氏によると、Windows 7に存在するこの脆弱性により、「死のブルースクリーン」と呼ばれる深刻なシステムエラーを引き起こす攻撃が可能になるかもしれないという。
MS、「Windows 7」と「Vista」のゼロデイ脆弱性を調査中 - CNET Japan
Gaffie氏は自身のブログで、この脆弱性はServer Message Block 2(SMB2)ドライバに存在すると書いた。
Gaffie氏は9月7日のブログ投稿に、「NEGOTIATE PROTOCOL REQUEST機能に対応するSMBヘッダの形式が不正な場合、SRV2.SYSが処理に失敗する」と書いた。
このエクスプロイトコードは、Metasploitのポイントアンドクリック攻撃のツールに追加されている。MetasploitのHD Moore氏は、このバグはWindows Vista SP1に端を発すると考えている。
Windows、「Teardrop攻撃」にさらされる - ZDNet Japan
The H Onlineは、Windows Vistaの脆弱性を突くとするエクスプロイトコードへのリンクを提示しているが、同サイトはWindows 7で同じ問題が再現しないことを示唆している。同サイトは、Microsoftからパッチが出るまでの間、Windowsファイアウォールの設定で「ファイルとプリンタの共有」のチェックを外してSMBのポートを閉じることを推奨している。
セキュリティアドバイザリ出ました!
Microsoft Server Message Block (SMB) に存在する可能性のある新たな脆弱性が報告され、マイクロソフトはその報告を現在調査中です。マイクロソフトは現時点で、この報告された脆弱性を悪用しようとする攻撃を認識しておらず、またお客様が影響を受けたという報告は受けていません。
http://www.microsoft.com/japan/technet/security/advisory/975497.mspx
PoCが出てますねえ・・・
/* * * SMB SRV2.SYS Denial of Service PoC * Release Date: Sep 8, 2009 * Severity: Medium/High * Systems Affected: Windows Vista SP1+SP2, Windows 2008 SP2, Windows 7 Beta + RC * Discovered by: Laurent Gaffie * * Description: * SRV2.SYS fails to handle malformed SMB headers for the NEGOTIATE PROTOCOL REQUEST functionnality. * The NEGOTIATE PROTOCOL REQUEST is the first SMB query a client send to a SMB server, and it's used * to identify the SMB dialect that will be used for futher communication. * * KB: http://www.microsoft.com/technet/security/advisory/975497.mspx */
NTTデータセキュアの検証結果が出ています。
WindowsのSMBのDoS攻撃の脆弱性(CVE-2009-3103)に関する検証レポート
http://www.nttdata-sec.co.jp/article/vulner.html
関連URL
- Regarding Microsoft srv2.sys SMB2.0 NEGOTIATE BSOD Sep 08 2009 04:23PM:SecurityFocus
- Microsoft Windows SMB2 '_Smb2ValidateProviderCallback()' Denial of Service Vulnerability
- Calendar of Updates: Windows, Security Updates and Software Help
- 正式版「Windows 7」、SMB脆弱性の影響は受けず--MSが明らかに - セキュリティ - ZDNet Japan
- WindowsのSMBプロトコルに脆弱性、MSがアドバイザリを公開 -INTERNET Watch
- Microsoft Windows RDP Connection Denial of Service Vulnerability
- Microsoft Releases Security Advisory 975497:US-CERT Current Activity
- Microsoft、SMBの脆弱性でアドバイザリーを公開 - ITmedia エンタープライズ
- VUPEN Security Exploits - Microsoft Windows SMB Request Processing Array Indexing PoC
- SMB 0-Day:Frequency X Blog
- SecurityFocus
- Microsoft Posts Tips for Plugging SMB Hole - News and Analysis by PC Magazine
- Windows Vista/7 SMB2.0 Negotiate Protocol Request Remote BSOD Vuln