作者: cyg07 && redrain
概述
2017年5月24日Samba發布了4.6.4版本,中間修復了一個嚴重的遠程代碼執行漏洞,漏洞編號CVE-2017-7494,漏洞影響了Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中間的版本。360網絡安全中心 和 360信息安全部的Gear Team第一時間對該漏洞進行了分析,確認屬于嚴重漏洞,可以造成遠程代碼執行。
技術分析
如官方所描述,該漏洞只需要通過一個可寫入的Samba用戶權限就可以提權到samba所在服務器的root權限(samba默認是root用戶執行的)。
從Patch來看的話,is_known_pipename函數的pipename中存在路徑符號會有問題:
再延伸下smb_probe_module函數中就會形成公告里說的加載攻擊者上傳的dll來任意執行代碼了:
具體攻擊過程:
- 構造一個有’/’ 符號的管道名或路徑名,如 “/home/toor/cyg07.so”
- 通過smb的協議主動讓服務器smb返回該FID
- 后續直接請求這個FID就進入上面所說的惡意流程
具體攻擊結果如下:
- 嘗試加載 “/home/toor/cyg07.so” 惡意so
- 其中so 代碼如下(加載時會調用 samba_init_module 導出函數)
- 最后我們可以在/tmp/360sec中看到實際的執行權限(帶root權限)
解決方案
360網絡安全響應中心和360信息安全部建議使用受影響版本的用戶立即通過以下方式來進行安全更新操作,
- 使用源碼安裝的Samba用戶,請盡快下載最新的Samba版本手動更新;
- 使用二進制分發包(RPM等方式)的用戶立即進行yum,apt-get update等安全更新操作;
緩解策略:用戶可以通過在smb.conf的[global]節點下增加 nt pipe support = no 選項,然后重新啟動samba服務, 以此達到緩解該漏洞的效果。
| 
