Microsoft Windows SMB (Server Message Block) フラグメント RPC (Remote Procedure Call) を発生させる条件について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

What Conditions Trigger Microsoft Windows SMB Fragmentation RPC Request Attempt Alert?

https://live.paloaltonetworks.com/t5/Threat-Articles/What-Conditions-Trigger-Microsoft-Windows-SMB-F...

 

 

 

Microsoft Windows SMB (Server Message Block) フラグメント RPC (Remote Procedure Call) を発生させる条件は以下の通りです:

  • MSRPC データ長が2バイト未満
  • MSRPC データ長が MSRPC ヘッダ長より小さい
  • MSRPC フラグメント長が現在のパケット長よりも大きい

これは回避手法の検知を示すものであり、攻撃が実際に行われていることを意味するわけではありません。また、回避手法は脆弱性とは異なるため、これに該当するCVE番号は存在しません。より詳細についてはこちら(英文)を参照してください。

 

著者: jnguyen