MS07-029的教训:DNS RPC缓冲区溢出漏洞
本文通过在代码层分析一类漏洞形成的原因,以提醒读者注意,并一道讨论解决这类问题的方法。
读者可能已经注意到了,微软最近公布了一个安全更新是关于DNS服务器代码漏洞的,这里先花一点时间介绍一下这个漏洞。
哪些产品受影响
这个DNS漏洞只对Windows的服务器平台有影响,WindowsXP和Vista用户丝毫不用担心,因为这种客户操作系统不包含DNS服务器代码,只有DNS客户端代码。DNS服务器默认情况下是关闭的,除非安装的是中小企业版或计算机被配置成活动目录控制器,这样DNS服务器才会默认打开。Windows2000、2003、长角服务器beta2都受到影响。
该漏洞的本质
该漏洞出现在RPC监听端口代码段,该端口是为DNS服务器管理所用的,反而在DNS服务主线程监听53端口的编码上没有出现问题。自从Windows XP SP2以来,微软就是用RPC通讯进行默认认证,这是个直接教训,在Blaster蠕虫中以领教。这里更有趣的是RPC端点的匿名访问方式。对于其本身来讲,匿名访问不能仅仅称之为漏洞,而应该说就是一种安全后门,可导致大范围安全。
代码
该漏洞出现在一个结构中的堆栈,如下:
typedef struct _CountName { UCHAR Length; UCHAR LabelCount; CHAR RawName[ DNS_MAX_NAME_LENGTH+1 ]; } COUNT_NAME, *PCOUNT_NAME;
该结构的一个指针被当作DNS主机名参数传递到下面的函数,如果PCOUNT_NAME->RawName溢出的话,非信任的代码就会出现在如下函数的第二个参数中。
DNS_STATUS Name_ConvertFileNameToCountName( PCOUNT_NAME pCountName, PCHAR pchName, DWORD cchNameLength) { PCHAR pch; UCHAR ch; PCHAR pchstartLabel; // ptr to start of label PCHAR pchend; // ptr to end of name PCHAR presult; PCHAR presultLabel; PCHAR presultMax; WORD charType = 0; WORD maskDowncase; DNS_STATUS status; INT labelLength; // length of current label UCHAR labelCount = 0; // result buffer, leave space for label presultLabel = presult = pCountName->RawName; presultMax = presult + DNS_MAX_NAME_LENGTH; presult++; // Character selection mask // '/' slash quote // '.' dot label separator are special chars // upper case must be downcased // everything else is copied maskDowncase = B_UPPER; // setup start and end ptrs and verify length pchstartLabel = pch = pchName; if ( !cchNameLength ) cchNameLength = strlen( pch ); pchend = pch + cchNameLength; while ( pch ) { if ( pch >= pchend ) { ch = 0; charType = FC_NULL; } ... // downcase upper case if ( charType & maskDowncase ) { // if name exceeds DNS name max => invalid if ( presult >= presultMax ) goto InvalidName; *presult++ = DOWNCASE_ASCII(ch); continue; } if ( charType & B_DOT ) { // verify label length labelLength = (int)(presult - presultLabel - 1); if ( labelLength > DNS_MAX_LABEL_LENGTH ) goto InvalidName; // set label count in result name *presultLabel = (CHAR)labelLength; presultLabel = presult++; if ( pch >= pchend ) { if ( labelLength != 0 ) { labelCount++; *presultLabel = 0; break; } presult--; break; } // set up for next label if ( labelLength != 0 ) { labelCount++; continue; } goto InvalidName; } // quoted character // - single quote just get next char // - octal quote read up to three octal characters else if ( ch == SLASH_CHAR ) { // if name exceeds DNS name max => invalid if ( presult >= presultMax ) goto InvalidName; << 注意:presult的长度未作限制 >> << extractQuotedChar 重写了 pch >> pch = extractQuotedChar( presult++, pch, pchend ); } }
我们可以看到,代码中有多处边界检查,但对于决定pch大小的重要变量presult却未加限制,因此就造成了该漏洞。教训啊,少检查一个都不行。
分析工具
一般的静态溢出代码分析工具找不出这种错误,因为该结构的本质就是超限的:
typedef struct _CountName { UCHAR Length; UCHAR LabelCount; CHAR RawName[ DNS_MAX_NAME_LENGTH+1 ]; } COUNT_NAME, *PCOUNT_NAME;
我们来看结构中最后一个变量,是一段缓冲区。有一些结构遵循“放在缓冲区后”原则,例如安全标识(SID)结构:
typedef struct _SID { BYTE Revision; BYTE SubAuthorityCount; SID_IDENTIFIER_AUTHORITY IdentifierAuthority; DWORD SubAuthority[ANYSIZE_ARRAY];} SID, *PSID;
SID结构的最后一个变量是由DWORD组成的缓冲区,并且ANYSIZE_ARRAY初始化会设置成1。这就是通常所说的可变长数组,一般的静态分析工具遇到这种情况,就会有针对性的改变搜寻方式来查找bug,然而PCOUNT_NAME->RawName是固定长度数组,分析工具就不会对其进行有针对性的分析。简而言之,利用可变长数组和静态分析工具就可以检查到这种bug。
Fuzz测试
因为这是一个管理员权限的接口,只需要执行了最小的RPC Fuzz测试,虽然没有发现该漏洞,那是因为判断RPC端点是否需要认证。要提供一套接口,分析和测试是非常重要的,如果是可以远程匿名访问的接口,就一定要好好检查,其比本地管理接口出问题的可能性要大很多。要注意Fuzz测试也就这么大能耐了,其很有效,但对于发现所有漏洞来说,还远远不够。
操作系统防御
Windows2000基本没有任何防御,没有防火墙、没有/GS(编译时缓冲区安全检查指令)、没有DEP/NX(代码执行防护)和ASLR(地址空间布局随机化),利用代码漏洞很容易。
Windows2003是使用/GS、DEP/NX编译的,但是没有ASLR,自带有个防火墙,但默认没开。而且由于编码的原因,即使编译时打开/GS,也漏掉了很多bug。
Windows长角服务器和现在的Windows2008,是以/GS方式编译,链接是采用/SafeSEH和DEP/NX以及ASLR,使得堆栈随机分布。同时自带防火墙,这种组合防御增加了安全性。
另一个重要的防御措施是服务重启策略,这个策略和ALSR一道增加缓冲区溢出安全难度,因为ALSR使得安全需要多次尝试,而服务重启策略限定了尝试次数。
总结
通过研究DNS RPC漏洞,我们要对RPC端点匿名认证多加小心,同时在缓冲区溢出检查时,注意可变长数组的用法。
