微软称CVE-2019-0703漏洞是Windows SMB服务器处理特定请求时发生信息泄露漏洞。成功利用该漏洞是攻击者可以伪造包,从服务器窃取信息,导致信息泄露。
为了利用该漏洞,攻击者需要认证并发送SMB消息到受影响的Windows SBM服务器。安全更新通过修正Windows SMB服务器处理经过认证的请求的方式来修复该漏洞。
但研究人员发现了一些不同的情况。研究人员该漏洞事实上是一个与从Windows Named Pipes查询信息的机制相关的逻辑漏洞,并非SMB协议或其实现中的漏洞。虽然目前该漏洞是通过SMB触发的,但仍然有一些其他方式来利用该漏洞,比如使用NtQueryInformationFile Windows API调用,而这与SMB是无关的。
该bug位于npfs.sys(Name Pipe File System driver)中的函数NpQueryInternalInfo中。npfs.sys用于查询命名的pipe并返回一个文件引用数的值,而微软官方文档显示该值必须由文件系统分配,并且对文件或目录所在的卷是唯一的。
研究人员分析表明返回的值并非文件引用数(file reference number),而是一个指向kernel结构CCB(Client Control Block)的指针。这在npfs.sys中并没有定义,但是在ReactOS 项目中有部分定义,即NP_CCB。很明显这并不是应该返回的值,泄露的struct可以被攻击者利用。
图8: 泄露的对象是CCB struct
为了触发该信息泄露漏洞,通过ntdll.dll的NtQueryInformationFile stub的以下参数进行调用:
FileHandle – Handle to a named pipe (for example “\.pipebrowser”).
FileInformationClass – FileInternalInformation (equals 0x6).
发生后,可以得到下面的调用栈:
图9: 与从用户模式调用NtQueryInformationFile相关的Kernel mode调用栈
前面已经讲到,该漏洞可以通过SMB来触发。用来确定被攻击的操作系统的位和覆写泄露的结构的域的方法,会导致远程代码执行。
为了利用该漏洞,必须首先建立到受害者及其的命名pipe的SMB连接,如下图所示:
图10: 证明建立了到pipebrowser 命名pipe (FID 0x4000)的SMB包网络抓包
然后可以用0x32 SMB命令(SMB_COM_TRANSACTION2)和0x7子命令(TRANS2_QUERY_FILE_INFORMATION)来查询关于打开的pipe的信息。后者有一个名为InformationLevel的域来描述从服务器提取的信息类型。
如果服务器在Negotiate Response域中声明了名为Infolevel Passthru的功能作为早期协商信息,还可以提取更多的信息,,比如在服务器上提供原生文件信息。这样,前者的能力允许其提供名为Pass-thru Information Level的代码数(客户端)来直接与服务器上另一个名为Information Class的代码数映射。该值与NtQueryInformationFile API的FileInformationClass参数是对应的,其中指定了从服务器查询什么类型的文件信息。
为了使用一个pass-thru Information Levels来查询服务器上的文件,添加值0x3e8 (SMB_INFO_PASSTHROUGH)到请求的Information Class中就可以了。比如,如果获取FileInternalInformation Information Class,想要获取相应的Information Level,只需要添加之前提到的值到information level中,最终会得到值0x3ee。
在本例中,使用相同的Information Level将其作为TRANS2_QUERY_FILE_INFORMATION子命令的参数,通过从srv.sys driver (SMB driver)中调用NtQueryInformationFile来触发该漏洞。后者会从npfs.sys来调用有漏洞的NpQueryInternalInfo,如下所示:
图11: Kernel mode调用栈
研究人员通过之前提到的info level发布一个到Trans2的请求来查询文件信息,并在响应中获取了CCB泄露的指针。
图12: Wireshark中获取的触发该漏洞的视图
为了确认该漏洞的根源,研究人员分析了npfs.sys文件补丁代码和未修复版本的差异:
图13: 补丁差异分析
可以看出,在有漏洞的代码中,out_buffer参数会返回调用者,然后客户端含有一个到ClientControlBlock (NP_CCB)参数的指针,而非文件引用数。在补丁版本的代码中,ClientControlBlock的0xa0和0xa4被写入了out_buffer。
通过从信息泄露中得到的信息可以在受害者机器中执行代码。具体来说,需要了解CCB结构。其中一个成员指向了另一个结构struct x。该结构中含有一个指向一个函数的指针,该函数会在连接到命名pipe终止时被调用,将其称之为pipe destructor function。
在APT3的漏洞实现中,HAL堆使用了struct x 的shellcode和实例。实例中止含有一个指向pipe destructor function位置的shellcode的指针。因此,如果知道泄露的CCB结构,就可以覆写其到struct x的指针,这样就可以指向虚假的实例。当连接关闭时,shellcode会被触发,攻击者就可以在受害者机器上执行任意代码。