一個有20年歷史的SMB漏洞：一台樹莓派就能DoS大型伺服器，微軟表示不會修復該漏洞

新聞 08-06

絕大部分 DoS 攻擊，一般來說都是目標系統收到大量服務請求，最終導致拒絕服務狀態。實際上，隨著技術的發展，如果要讓現在的系統「拒絕服務」，是需要海量請求配合的——也就是所謂的泛洪攻擊才能做到的，這就需要用到分散式拒絕服務，也就是 DDoS 攻擊了。但在前不久結束的 DEF CON 大會上，安全研究人員在 Windows SMB 服務中發現一個漏洞，利用該漏洞，即便是一台普通性能的計算機，也能對擁有海量運算資源的伺服器發動 DoS 攻擊。

近日，RiskSense的安全研究人員找到了一個20年之久的Windows SMB漏洞，他們稱之為SMBloris，在最近的DEF CON黑客會議上，介紹了他們的發現。

這個漏洞可以讓攻擊者輕鬆地通過20行Python代碼和樹莓派遠程使windows伺服器崩潰。

但微軟表示不會修復這個漏洞，因為你要做的僅僅是屏蔽掉連接到互聯網的一個埠。

只有那些通過SMBv1埠連接到互聯網的機器才會被攻擊者使用SMBloris 攻擊到，那也就是為什麼微軟認為這只是一個配置上的問題。

這個漏洞影響了SMB協議的每一個版本和從windows 2000開始的每一個windows版本。RiskSense高級安全研究員Sean Dillon說，它可能要比操作系統的出現還要早。與同事Zach Harding共同研究的Dillon還稱這次攻擊為SMBloris，因為它與在2009年Robert Hansen開發的Slowloris相當。這兩種攻擊都可以使一個功能強大的伺服器崩潰或凍結，但對於Slowloris來說，它的攻擊目標不像SMBloris那樣是web伺服器。

「與Slowloris類似，它需要建立多個連接到伺服器，但這些連接的成本對於攻擊者來說很低，所以一台機器就就能夠執行攻擊，」Dillon說。

Dillon是第一批分析永恆之藍的研究人員，

WannaCry的傳播和

ExPetr wiper這樣的惡意軟體都是利用了NSA SMB的漏洞

，而正是在分析永恆之藍的過程中，Dillon發現了這個SMBv1漏洞。

DIllon解釋道「在研究永恆之藍的時候，我們就觀察到了在windows內核上使用的是非分頁池的內存分配模式，非分頁池必須保存在物理RAM中，不能被換出來，這是系統中最寶貴的內存池，但我們還是想出了如何耗盡這個內存池的辦法，即使帶有128GB的強大內存的伺服器，我們也可以用樹莓派把它拿下。「

Dillon說，「這個問題是在6月初向微軟報告的，因為EternalBlue分析已經完成。微軟告訴研究人員，兩個內部安全小組認定這個漏洞是一個中等的問題，不會被移入安全部門，可能永遠不會被修復。

在星期六的DEF CON談話的60天前，我們就向微軟提交了報告，在這次談話的45天前，我們收到了微軟的回應。」

微軟公司的一位發言人表示，「這種情況並沒有給安全帶來嚴重的影響，我們也不打算用安全更新解決這個問題，企業用戶如果擔心的話，建議他們不要從SMBv1埠訪問互聯網。」

「他們說這是一個中等的問題，因為雖然它需要建立許多與伺服器的連接，但是這些操作完全可以用一台機器完成，而樹莓派就可以使最強大的伺服器癱瘓，」Dillon說。

該漏洞是利用了SMB數據包的處理方式和內存分配的方式。 Dillon和Harding表示，他們發現了一種利用該系統分配方式來破壞伺服器的方法。

這種攻擊就能對類似DDoS這樣的攻擊進行放大了。Dillon解釋說，如果一台機器就可以完成DoS攻擊使windows伺服器癱瘓的話，為什麼還要用DDoS呢，你也不再需要使用肉雞了。

Dillon說，該攻擊可以分配伺服器所有的可用內存，甚至不會藍屏，操作系統通過很長的內存列表來尋找未分配的內存，而這樣會使操作系統崩潰，CPU佔用率也會達到峰值。

「伺服器崩潰的很嚴重時你可以完全凍結系統，」Dillon說，「但當所有的非分頁池內存都分配完了的時候，還會有很多完整性的問題，比如某些磁碟的許可權問題，甚至會出現因為內存耗盡而無法進行日誌記錄的問題。我們遇到的一個問題是：我們已經完全消耗盡了系統的內存並導致系統被凍結；而不顯示藍屏也是因為需要顯示藍屏的資源不夠，系統會凍結，並且永遠都無法修復。「

Dillon表示，在前不久的black hat大會上，他和Harding分享一些有關這種攻擊的更多的技術細節，並演示攻擊的內容。

「這樣的攻擊還是很簡單的，我相信大部分人都可以弄明白髮生了什麼，」Dillon說。

以下是SMBLoris攻擊消耗windows RAM演示視頻：

NBSS是NetBIOS會話服務協議，每個連接都會分配128 KB的內存，在連接關閉時釋放內存。當沒有活動執行的時候，連接會在30秒後關閉。

使用65535個TCP埠，攻擊者可以填充超過8 GB的數據，在ipv4和ipv6協議下，DDoS攻擊可以達到16GB數據，兩個ip的話，攻擊流量可以翻倍，即達到32GB。

攻擊會觸發NBSS的內存飽和，需要重新啟動伺服器才能恢復正常操作。

Dillon認為對於微軟來說，修復這個漏洞卻並沒有那麼簡單。

「我認為問題就在於這個漏洞並不是很容易修復，微軟已經使用這樣的SMB內存分配方式20年了。所以，所有的東西都依賴於客戶端說」我發送的緩存區有這麼大「這樣一個事實。對伺服器來說，它也保留了同樣多的內存，所以，伺服器才可以處理客戶端發來的數據。「

Dillon表示，可以用聯機設備（包括防火牆）來限制單個IP地址到SMB埠的活動連接數來緩解這種情況。

*參考來源：securityaffairs ，threatpost，threatpost，FB小編Liki編譯，轉載請註明來自FreeBuf.COM