mboost-dp1

Microsoft Corporation

Fejl i SMB kan crashe Windows 7 RC og Vista

- Via Seclists.org - , redigeret af Pernicious

For et par dage siden offentliggjorde Laurent Gaffi, at der er en fejl i den nye version af Server Message Block (SMB), SMB 2.0, der kan udnyttes til at få en computer med Windows Vista, Windows 7 RC eller Windows Server 2008 til at crashe.

Fejlen udnyttes ved at sende en manipuleret header til “NEGOTIATE PROTOCOL REQUEST”-funktionen, som er den første forespørgsel en SMB-klient sender til en SMB-server. Det sker for at identificere den SMB-dialekt, som vil blive brugt til yderligere kommunikation.

Når SMB 2.0 modtager et “&”-tegn i “Process Id High”-header-feltet, crasher den med en “PAGE_FAULT_IN_NONPAGED_AREA”-fejl.

Det betyder, at man blot ved at sende denne manipulerede header til hvilken som helst computer/server, der anvender et af de nævnte operativsystemer, kan få dem til at gå ned.

Alle tidligere versioner af Windows er ikke berørt af fejlen, ligesom Windows 7 RTM og Windows 2008 R2 heller ikke er. Microsoft har endnu ikke udsendt en patch, som retter fejlen. På deres hjemmeside anbefaler Microsoft i mellemtiden at slå SMB fra.





Gå til bund
Gravatar #1 - ToFFo
11. sep. 2009 07:29
Mon Microsoft nogensinde laver et OS der er helt uden vores allesammens elskede BSoD? Ja jeg ved heller ikke lige hvordan de skulle gøre opmærksom på en fejl på anden vis..

Men det kunne da være sjovt hvis de gjorde BSoD lidt mere festlig :)

Måske skulle de endda prøve på at gøre dem mere forståelige/overskuelige. Det er rigtig rigtig mange der flyver til nærmeste forum for at spørge hvad det betyder i stedet for bare at google det selv. Jeg har set BSoD's for så mange ting efterhånden. Der er bare ikke det der ikke kan gå galt. Alt muligt kan fejle.

Info: Til os der har 64bit Windows 7. Vi bliver ikke berørt af fejlen. Det gør 64bit vista brugere dog.
Gravatar #2 - luuuuu
11. sep. 2009 07:34
#1

Festlig som i den sidste del af Monty Python and The Quest For The Holy Grail intro creditsne? :P


#topic

Nu er det måske lidt sensationalistisk at gå helt amok over man kan crashe "EN HVILKEN SOM HELST SERVER I VERDEN DER KØRER DETTE OPERATIVSYSTEM!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!".

En simpel firewall og så er man ude over det problem. Ja, der er en fejl i SMB2 men så er det heller ikke værre end det. Disable servicen og man kører videre med SMB1 der ikke har problemet.
Gravatar #3 - micma18
11. sep. 2009 07:43
Hmmm... lyder lidt som den gaml OOB buffer overrun problem...
Gravatar #4 - v1ct0r
11. sep. 2009 07:44
Er jeg den eneste der læste det som "Fejl i Super Mario Brothers kan crashe Windows"?
Gravatar #5 - XorpiZ
11. sep. 2009 07:44
ToFFo (1) skrev:

Info: Til os der har 64bit Windows 7. Vi bliver ikke berørt af fejlen. Det gør 64bit vista brugere dog.


Som der også står i nyheden, så er fejlen ikke-eksisterende i RTM-udgaven af W7.

#4

Ja.
Gravatar #6 - micma18
11. sep. 2009 07:48
Iøvrigt en fin advisory M$ har lavet... Langt mere teknisk og indsigtsfuld, end vi ellers har set deres KB artikler osv.
Gravatar #7 - gensplejs
11. sep. 2009 08:12
Misvisende overskrift!
Det er netop kun rc af windows 7 der er ramt. IKKE RTM.
Gravatar #8 - -N-
11. sep. 2009 08:12
Var der nogen der sagde ping of death version 2.0? :-D

Det er nu lidt sjovt at det kunne blive en fejl, troede man automatisk to højde for den slags korrupte strenge? - Men nu er jeg selvfølgelig heller ikke programmør :-D
Gravatar #9 - arrogant
11. sep. 2009 08:25
# Begin SMB header: Session message "\xff\x53\x4d\x42" # Server Component: SMB "\x72\x00\x00\x00" # Negociate Protocol "\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853 "\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
Gravatar #10 - HydrA
11. sep. 2009 08:39
#9 Nå ja det rigtigt!
Gravatar #11 - inckie
11. sep. 2009 08:45
Følg kilden, der er et python script, som proof of concept :)
Gravatar #12 - reefermadness  
11. sep. 2009 08:50
#1 - Hvor meget mere har du brug for end fejlkode og tilhørende parametre?

Enda driver navn i nogle tilfælde...

Det er da en del bedre end at få at vide at man skal trykke reset på 5 fem sprog (OSX *host*)
Gravatar #13 - Decipher
11. sep. 2009 09:11
"På deres hjemmeside anbefaler Microsoft i mellemtiden at slå SMB fra."

Fedt ... vores produkt virker ikke, vi anbefaler du lader være med at bruge det. Tak.

:D
Gravatar #14 - Ravager
11. sep. 2009 09:17
#13:
Og hvad skulle de ellers skrive? De anbefaler jo ikke, at du ikke bruger Windows, blot at du slår en komponent fra, indtil de har testet og rettet fejlen.
Gravatar #15 - Kenman
11. sep. 2009 09:53
#1 nææ, hvorfor skulle de skrotte BSOD?
Nej en BSOD er ikke lavet til fru Jensen der ikke har forstand på IT, den er lavet til fru Jensens IT kyndige søn/barnebarn og IT folkene i firmaers IT afdeling, så de kan bruge det til at indentificere fejlene.

Og nej de er ikke fancy, men hvis de istedet var super fancy og der kom en klovn rendende henover skærmen med balloner, ville ideen med BSDO forsvinde.

1: den må ikke kræve noget som helst skal virke for at kunne vises (derved forsvinder al grafik.)
2: den skal være så præcis som muligt med de få data der er tilgængelige.

:)

#13, som #14 korrekt skriver, hvad skulle de ellers gøre?
MS har ilge udsendt deres patches for september, jvf. deres patchcycle kommer der ikke en patch før tidligt i oktober.

Endvidere er det ikke nogen kritisk fejl, ethvert firma burde være beskyttet mod det, med deres firewalls og skulle en eller anden kegle lave noget malware der inficerer din hjemme pc, så går det nok også lige, da det blot er at huske at opdatere dit AV til at fange dette.

Igen en minimal fejl, som blæses op til noget stort; og så endda med en forkert overskrift :-/

#6 jep det er rart at se at der kommer lidt mere "kød" på deres information istedet for de tidligere KB'ere, der sagtens kunne være skrevet af marketingsfolk.
Gravatar #16 - astor
11. sep. 2009 10:07
Eh, den overskrift er da noget misvisende. Der står følgende på MS hjemmeside:

Affected Software
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

Non-Affected Software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems


EDIT: Ok, så Win7 RC er sårbar for dette, men hvem bruger RC til computere i produktionsmiljø?
Gravatar #17 - Space Hopper
11. sep. 2009 10:16
Winnuke returns
Gravatar #18 - ty
11. sep. 2009 11:00
Godt man stadig bruger DOS så. Den kommer der ikke så meget nyt til.
Gravatar #19 - Bundy
11. sep. 2009 11:06
Winnuke v2, awesome :D
Gravatar #20 - mazing
11. sep. 2009 14:24
Kenman (15) skrev:
Igen en minimal fejl, som blæses op til noget stort; og så endda med en forkert overskrift :-/

Kunne godt tænke mig at høre hvad en alvorlig fejl er i din verden så. Mange virksomheder blokerer ikke for SMB på lan, men bruger det derimod aktivt - i høj grad på servere.
Gravatar #21 - arne_v
11. sep. 2009 14:37
Decipher (13) skrev:
"På deres hjemmeside anbefaler Microsoft i mellemtiden at slå SMB fra."

Fedt ... vores produkt virker ikke, vi anbefaler du lader være med at bruge det. Tak.

:D


mazing (20) skrev:
Kunne godt tænke mig at høre hvad en alvorlig fejl er i din verden så. Mange virksomheder blokerer ikke for SMB på lan, men bruger det derimod aktivt - i høj grad på servere.


Nu er det jo sådan at newz.dk summary er forkert og #2 har ret:

En simpel firewall og så er man ude over det problem. Ja, der er en fejl i SMB2 men så er det heller ikke værre end det. Disable servicen og man kører videre med SMB1 der ikke har problemet.
Gravatar #22 - mazing
11. sep. 2009 15:46
Ser ud til det bare er et spørgsmål om tid før det leder til remote execution exploits: http://vrt-sourcefire.blogspot.com/2009/09/smbv2-q...

Kan vi kalde det kritisk nu? ;)
Gravatar #23 - micma18
13. sep. 2009 19:47
Fix kan nu hentes fra M$: http://support.microsoft.com/kb/968389
Gravatar #24 - XorpiZ
14. sep. 2009 06:22
#23

Det ser da ikke ud til at være samme fejl?

Technetartiklen er publiceret 8. september og den du linker til er fra den 4. september.. det hænger ikke helt sammen.

Edit:

Derudover - den technet-artikel der linkes til i dit link er helt tilbage fra den 11. august.
http://www.microsoft.com/danmark/technet/sikkerhed...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login