EternalBlue 永恒之蓝 SMB 漏洞底层实现介绍

EternalBlue 永恒之蓝 SMB 漏洞底层实现介绍

EternalBlue 永恒之蓝 是 Windows 8 之前的系统中存在的漏洞，它支持 SMB 服务中的进程间通信共享(IPC$)，默认允许匿名登录和空会话。空会话允许 SMB 客户端向 SMB 服务器发送命令。 EternalBlue 利用了 SMB 服务中的三个漏洞 [1]:

1. 第一个漏洞存在于 SMB 实现中从 OS/2 结构到 NT 结构的文件扩展属性 (FEA) 过程中，当属性值 (SizeOfListInBytes，即 Dword 大小) 时，可能会导致非分页内核池中的缓冲区溢出错误在 OS/2 格式中高于 216 [1]。
2. 第二个漏洞与两个 SMB 子命令 SMB_COM_TRANSACTION2 和 SMB_COM_NT_TRANSACT 有关。这是因为两个子命令都在使用另一个子命令 _SECONDARY，当单个包中包含太多数据时会使用该子命令。两个子命令之间的区别在于命令 TRANSACTION2 (Word max 0xFFFF) 调用的数据包比命令 NT_TRANSACT (Dword max 0xFFFFFFFF) [1][2] 小两倍。
   如果攻击者在 TRANSACTION2 命令（Dword 之后的 Word）之前发送了一个使用 NT_TRANSACT 的特制包，它将根据最后一个包分配内存，使用命令 TRANSACTION2，该命令具有较小的数据大小。这意味着使用命令 NT_TRANSACT 的包将没有足够的内存空间，这可能导致第一个漏洞 [1][2] 中提到的缓冲区溢出错误。
3. 第三个漏洞存在于 SMB 版本 1 中，它允许攻击者在内核非分页池中分配一块内存，并利用上述两个漏洞。这个漏洞会留下一部分内存，攻击者可以运行 shell 代码 [2]。

Reference

[1] Nadav, G. 2017. EternalBlue – Everything There Is To Know. [Online]. Available at: https://research.checkpoint.com/2017/eternalblue-everything-know

[2] EntinelOne. 2019. EternalBlue Exploit: What It Is And How It Works. [Online]. Available at: https://www.sentinelone.com/blog/eternalblue-nsa-developed-exploit-just- wont-die/