CVE-2020-0796漏洞realworld场景实现改进说明

在此前跟进CVE-2020-0796的过程中,我们发现公开代码的利用稳定性比较差,经常出现蓝屏的情况,通过研究,本文分享了CVE-2020-0796漏洞实现在realworld使用过程中遇到的一些问题以及相应的解决方法。 Takeaways我们分析了exp导致系统蓝屏的原因,并尝试对其进行了改进;相对于重构前exp,重构后的exp执行效率与稳定性都有显著提高;关于漏洞原理阐述,Ricerca Security在2020年4月份发布的一篇blog中已非常清晰,有兴趣的读者可以移步阅读,本文不再赘述。初步选择和测试公开exp可用性测试环境:VMWare,Win10专业版1903,2G内存,2处理核心 为了测试和说明方便,我们可以将exp的执行分为3个阶段: 漏洞利用到内核shellcode代码开始执行内核shellcode代码执行用户层shellcode执行根据实际情况,我们测试了chompie1337和ZecOps的漏洞利用代码。根据各自项目的说明文档,两份代码初步情况如下: ZecOpsZecOps的利用代码是在单个处理器的目标计算机系统上测试的;在后续的实际测试中,发现其代码对多处理器系统的支持不足,虽然在测试环境中进行了多次测试中,系统不会产生BSOD,但漏洞无法成功利用(即exp执行第一阶段失败)。 chompie1337chompie1337的代码在漏洞利用阶段则表现得十分稳定,但在内核shellcode执行时会造成系统崩溃。 因此,我们决定将chompie1337的利用代码作为主要测试对象。 内核shellcode问题定位我们在win10 1903中测试了chompie1337的exp代码,绝大部分的崩溃原因是在漏洞利用成功后、内核shellcode代码执行(即exp执行的第二阶段)时,申请用户空间内存的API zwAllocateVirtualMemory调用失败。在我们的多次测试中,崩溃现场主要包括以下两种: Crash_A backtraceCrash_B…

F5 RCE(CVE-2020-5902)在野攻击事件调查

F5 Networks官方在7月1日公布了BIG-IP系统的TMUI接口中存在一个严重的远程代码执行漏洞(CVE-2020-5902)。利用此漏洞的攻击层出不穷,我们对这些事件进行了总结,以期对近日来的事件进行完整阐述。 漏洞简述该漏洞允许未授权的远程攻击者通过向漏洞页面发送特殊构造的数据包,在系统上执行任意系统命令、创建或删除文件、禁用服务等。 根据360安全大脑测绘云(QUAKE网络空间测绘系统)数据,截至2020年7月10日,全球至少有80000台存在此漏洞的资产,具体分布如下图所示: CVE-2020-5902漏洞分布通过对该漏洞活跃情况研判,得到其全球态势和漏洞生命周期: 从360安全大脑的全网视野里可以看出,在7月2日漏洞利用细节公布,7月4日开始传播后,7月6日全网受影响设备居于峰值,此后由于缓解措施发布实施,漏洞活跃状态逐步回落。 时间线2020-7-1:F5 Networks官方发布通告,缓解措施为在配置文件中添加以下内容:<LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch>2020-7-2:漏洞相关技术细节公布2020-7-3:漏洞扫描流量被监测到2020-7-5:@x4ce在推特上公开披露漏洞利用PoC2020-7-6:metasploit集成exp2020-7-7:研究人员发现F5官方发布的缓解措施能够被绕过;而监测发现,在推特发布6小时前,野外即有bypass的利用payload;同日,F5官方更新通告,修复后的配置内容为:<LocationMatch…