Windows Server中的 WINS 服务器远程内存损坏漏洞分析

本文涉及的产品
实时计算 Flink 版,5000CU*H 3个月
简介: 本文讲的是Windows Server中的 WINS 服务器远程内存损坏漏洞分析,在2016年12月,FortiGuard Labs发现并报告了Microsoft Windows Server中的WINS Server远程内存损坏漏洞。
本文讲的是 Windows Server中的 WINS 服务器远程内存损坏漏洞分析

漏洞概要

在2016年12月,FortiGuard Labs发现并报告了Microsoft Windows Server中的WINS Server远程内存损坏漏洞。在2017年6月,微软向FortiGuard实验室答复说:“要修复程序漏洞需要对代码进行全面彻底的检查,WINS所提供的功能会被DNS所取代,微软已经建议客户将其迁移出去。也就是说,由于修复漏洞所需要的工作量,Microsoft不会修补此漏洞。相反,Microsoft是建议用户使用DNS来替换WINS。

此漏洞影响的版本涉及到Windows Server 2008,2012和2016。之所以存在此漏洞是因为在处理格式错误的WINS数据包时会触发远程内存损坏。

在本文中,我想分享一下这个漏洞的一些细节。

漏洞复现

要复现此漏洞,请按照以下步骤操作。

1. 在受影响的Windows Server版本中的“服务器管理器”中安装“WINS服务器”。本文中,我们正在使用的是Windows Server 2016.按照“服务器管理器”的安装向导,然后选中“WINS服务器”选项。请参见图1中的操作。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

图1.安装WINS Server服务

2. 打开“控制面板” – >“管理工具” – >“WINS”。然后导航到“WINS” – >“复制伙伴”,右键单击“复制伙伴”,然后选择“新建复制伙伴”。见下图中的操作。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

图2.创建WINS复制伙伴

3. 在弹出的对话框中,输入WINS服务器IP地址,然后单击确定。请注意,WINS服务器的IP地址必须是攻击者的主机的IP地址。在我的测试中,IP地址为10.0.0.1。请参见图3中的操作。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

图3.输入WINS服务器IP地址

4. 在另一台机器上,如Windows 7 x64(这台主机的IP地址必须是你在步骤3中输入的WINS服务器的IP地址),然后在CLI中运行PoC,如“trigger_poc.py”。发送数据包后,你就可以看到Windows Server 2016上的WINS Server服务会停止工作,或者会使用新的pid自动重新启动进程。你可以继续运行PoC,直到由于远程内存的损坏而导致WINS Server服务完全停止工作。捕获的攻击报文如图4所示。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

图4.捕获的攻击报文

漏洞分析

存在此漏洞的根本原因在于Windows Server未正确处理多个挂起的WINS-Replication会话。所以让我们先来看看捕获的数据包。参见图5。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

图5.攻击数据包中的数据

当使用复制命令WREPL_REPL_UPDATE2(0x00000005)处理多个(大于 3个)待处理的WINS-Replication会话时,就会触发此漏洞。它导致了“int 29h”,错误代码为0xC0000409。参见图6。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

图6.“int 29h”,错误代码为0xC0000409

“int 29h”是在Windows 8或更新版本中发现的新的安全声明。它有许多断言。在这里,断言在伪代码中检查了以下条件:损坏的列表指针。

    if (((Entry->Flink)->Blink) != Entry){
        mov ecx,3
        int 29h
    }

当我们建立了多个挂起的WINS-Replication会话时,列表指针将被破坏。根本原因是将同一个缓冲区多次释放到了列表池。请参阅以下代码:

.text:00007FF7F87E35D4 DeallocEnt      proc near      ; CODE XREF: CommAssocDeallocAssoc+2Ap
 
.text:00007FF7F87E35D4                                         ; CommAssocDeallocDlg+2Ap
 
.text:00007FF7F87E35D4                                         ; DATA XREF: ...
 
.text:00007FF7F87E35D4
 
.text:00007FF7F87E35D4 arg_0           = qword ptr  8
 
.text:00007FF7F87E35D4 arg_8           = qword ptr  10h
 
.text:00007FF7F87E35D4 arg_10          = qword ptr  18h
 
.text:00007FF7F87E35D4 arg_20          = qword ptr  28h
 
.text:00007FF7F87E35D4 arg_28          = qword ptr  30h
 
.text:00007FF7F87E35D4
 
.text:00007FF7F87E35D4                 mov     [rsp+arg_0], rbx
 
.text:00007FF7F87E35D9                 mov     [rsp+arg_8], rsi
 
.text:00007FF7F87E35DE                 mov     [rsp+arg_10], r8
 
.text:00007FF7F87E35E3                 push    rdi
 
.text:00007FF7F87E35E4                 sub     rsp, 20h
 
.text:00007FF7F87E35E8                 mov     rbx, r9
 
.text:00007FF7F87E35EB                 mov     rsi, r8
 
.text:00007FF7F87E35EE                 mov     rdi, rdx  ---> rdi points to the head of the list (rdx, named entry A here) which equals sAssocQueHd global variable
 
.text:00007FF7F87E35F1                 mov     rcx, r8         ; lpCriticalSection
 
.text:00007FF7F87E35F4                 call    cs:__imp_EnterCriticalSection
 
.text:00007FF7F87E35FA                 nop
 
.text:00007FF7F87E35FB                 inc     dword ptr [rbx]
 
.text:00007FF7F87E35FD                 mov     eax, [rbx]
 
.text:00007FF7F87E35FF                 mov     rbx, [rsp+28h+arg_20] ; ---> rbx points to the entry B, which will be deallocated
 
.text:00007FF7F87E3604                 mov     [rbx+10h], eax
 
.text:00007FF7F87E3607                 mov     rax, [rdi+8]
 
.text:00007FF7F87E360B                 cmp     [rax], rdi
 
.text:00007FF7F87E360E                 jz      short loc_7FF7F87E3617
 
.text:00007FF7F87E3610                 mov     ecx, 3
 
.text:00007FF7F87E3615                 int     29h             ; Win8: RtlFailFast(ecx)
 
.text:00007FF7F87E3617
 
.text:00007FF7F87E3617 loc_7FF7F87E3617:                       ; CODE XREF: DeallocEnt+3Aj
 
.text:00007FF7F87E3617                 mov     [rbx], rdi     ---> entry B’s Blink points to entry A
 
.text:00007FF7F87E361A                 mov     [rbx+8], rax   ---> entry B’s Flink points to entry C
 
.text:00007FF7F87E361E                 mov     [rax], rbx    ---->   set entry C’s Blink to entry B
 
.text:00007FF7F87E3621                 mov     [rdi+8], rbx  ---->   set entry A’s Flink to entry B
 
.text:00007FF7F87E3625                 mov     rdi, [rsp+28h+arg_28]
 
.text:00007FF7F87E362A                 cmp     dword ptr [rdi], 64h
...

在上面的列表中,Flink指针指向列表中的下一个复习,Blink指针指向列表中的上一个对象。

在PoC中,在会话1,2,3之后发送两个数据包并保持处于挂起状态(用过发送TCP重置数据包这两个会话不会被终止),首先使用B指针调用释放分配函数,例如0x1f11306ff70 。A(ListHead)指针始终等于全局变量sAssocQueHd。分配是在父函数中完成的。所以在B被释放之后,C将不存在于第一个释放列表中。关系如下表所示。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

之后用B指针第二次调用释放分配函数,它仍然等于0x1f11306ff70。A(ListHead)等于全局变量sAssocQueHd。所以在B被释放之后,没有添加新的条目。条目关系如下图所示。

Windows Server中的 WINS 服务器远程内存损坏漏洞分析

你可以清楚地看到, 释放分配函数被调用了两次,B中的列表元素Flink和Blink指向了它们自己。这会导致列表错误。

那么这个deallocate函数将被第三次调用。所以“int 29h”由于列表指针检查被破坏而触发。

    if (((Entry->Flink)->Blink) != Entry)
    {
        mov ecx,3
        int 29h
    }

在以下函数中处理带有Assoc_Ctx的WREPL_REPL_UPDATE2数据包时,对象指针将会设置为相同的指针:

.text:00007FF7F87E0190 ProcTcpMsg      proc near               ; CODE XREF: MonTcp+4C5p
 
.text:00007FF7F87E0190               ; DATA XREF: .pdata:00007FF7F88077D4o
 
.text:00007FF7F87E0190
 
......
 
.text:00007FF7F87E0284 loc_7FF7F87E0284:                  ; CODE XREF: ProcTcpMsg+EDj
 
.text:00007FF7F87E0284                 mov     ecx, [r15+4]    ---> netlong here was obtained from the second packet (Wirehark parses it as "WINS-Replication WREPL_REPL_UPDATE2"), "Assoc_Ctx"="00 00 00 3f".
 
.text:00007FF7F87E0288           call    cs:__imp_ntohl
 
.text:00007FF7F87E028E           mov     esi, eax        ---> here esi=0x3f
 
.text:00007FF7F87E0290           mov     ecx, [r15+8]    ; netlong
 
......
 
.text:00007FF7F87E0382 loc_7FF7F87E0382:                       ; CODE XREF: ProcTcpMsg+1EAj
 
.text:00007FF7F87E0382           lea     ecx, [rsi-1]
 
.text:00007FF7F87E0385           mov     rax, qword ptr cs:xmmword_7FF7F8804D28
 
.text:00007FF7F87E038C           mov     rbx, [rax+rcx*8] ; ---> here rbx = poi(7FF7F8804D28)+0x3e*8, because rcx is obtained from Assoc_Ctx=0x3f -1
 
.text:00007FF7F87E0390           xor     esi, esi

从上面的代码段可以看出,一旦获得了对象指针poi(poi(7FF7F8804D28)+0x3e*8 

,最终的目标指针(之前传递给条目B的指针)在第一次调用释放分配函数时是确定的,它被分配了B指针。在第二次和第三次调用释放函数时,最终的目标指针(入口B指针)保持不变。在我的测试中,它是1306 1306 ff70 f1。这将导致内存损坏。

注意:poi是获取地址的值的函数。

总而言之,该漏洞是由于复制命令WREPL_REPL_UPDATE2(这是触发此漏洞的关键)处理多个(> 3)挂起的WINS复制会话所导致的。其结果是相同的列表条目被多次释放,这就导致了远程内存损坏。

漏洞缓解措施

我们鼓励那些易受攻击的Microsoft Windows Server的所有用户立即从WINS服务器进行迁移。另外,针对此漏洞,已经部署了Fortinet IPS解决方案的企业组织已经通过MS.Windows.WINS.Server.Remote.Memory.Corruption签名得到保护。




原文发布时间为:2017年6月21日
本文作者:丝绸之路 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
相关实践学习
基于Hologres轻松玩转一站式实时仓库
本场景介绍如何利用阿里云MaxCompute、实时计算Flink和交互式分析服务Hologres开发离线、实时数据融合分析的数据大屏应用。
Linux入门到精通
本套课程是从入门开始的Linux学习课程,适合初学者阅读。由浅入深案例丰富,通俗易懂。主要涉及基础的系统操作以及工作中常用的各种服务软件的应用、部署和优化。即使是零基础的学员,只要能够坚持把所有章节都学完,也一定会受益匪浅。
目录
相关文章
|
11天前
|
存储 UED Windows
Windows服务器上大量文件迁移方案
Windows服务器上大量文件迁移方案
35 1
|
16天前
|
NoSQL Redis Windows
windows服务器重装系统之后,Redis服务如何恢复?
windows服务器重装系统之后,Redis服务如何恢复?
41 6
|
13天前
|
程序员 编译器 C++
【C++核心】C++内存分区模型分析
这篇文章详细解释了C++程序执行时内存的四个区域:代码区、全局区、栈区和堆区,以及如何在这些区域中分配和释放内存。
31 2
|
16天前
|
Java 应用服务中间件 Windows
windows服务器重装系统之后,Tomcat服务如何恢复?
windows服务器重装系统之后,Tomcat服务如何恢复?
34 10
|
16天前
|
消息中间件 Java Kafka
windows服务器重装系统之后,Kafka服务如何恢复?
windows服务器重装系统之后,Kafka服务如何恢复?
19 8
|
13天前
|
算法 程序员 Python
程序员必看!Python复杂度分析全攻略,让你的算法设计既快又省内存!
在编程领域,Python以简洁的语法和强大的库支持成为众多程序员的首选语言。然而,性能优化仍是挑战。本文将带你深入了解Python算法的复杂度分析,从时间与空间复杂度入手,分享四大最佳实践:选择合适算法、优化实现、利用Python特性减少空间消耗及定期评估调整,助你写出高效且节省内存的代码,轻松应对各种编程挑战。
25 1
|
15天前
|
存储 Prometheus NoSQL
Redis 内存突增时,如何定量分析其内存使用情况
【9月更文挑战第21天】当Redis内存突增时,可采用多种方法分析内存使用情况:1)使用`INFO memory`命令查看详细内存信息;2)借助`redis-cli --bigkeys`和RMA工具定位大键;3)利用Prometheus和Grafana监控内存变化;4)优化数据类型和存储结构;5)检查并调整内存碎片率。通过这些方法,可有效定位并解决内存问题,保障Redis稳定运行。
|
18天前
|
监控 Windows
Windows服务器的服务如何实现自动启动?
Windows服务器的服务如何实现自动启动?
24 1
|
1月前
|
存储 运维
.NET开发必备技巧:使用Visual Studio分析.NET Dump,快速查找程序内存泄漏问题!
.NET开发必备技巧:使用Visual Studio分析.NET Dump,快速查找程序内存泄漏问题!
|
1月前
|
NoSQL 程序员 Linux
轻踩一下就崩溃吗——踩内存案例分析
踩内存问题分析成本较高,尤其是低概率问题困难更大。本文详细分析并还原了两个由于动态库全局符号介入机制(it's a feature, not a bug)触发的踩内存案例。

热门文章

最新文章

下一篇
无影云桌面