欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CVE-2020-0609/0610漏洞分析

来源:本站整理 作者:佚名 时间:2020-02-10 TAG: 我要投稿

RDG(Remote Desktop Gateway)之前叫做Terminal Services Gateway(终端服务网关)是为远程桌面RDP提供录用的Windows服务器组件。用户并不是直接连接到RDP服务器,而是连接到网关与网关进行认证。成功认证后,网关会转发RDP流量到用户指定的地址——作为代理。只有网关需要连接到互联网,使得所有的RDP服务器都安全地位于防火墙之后。由于RDP是一个很大的供给面,因此使用RDP的设置可以明显减少该组织的攻击面。
1月的微软安全更新中,修复了RDG中的2个安全漏洞,分别是CVE-2020-0609和CVE-2020-0610,这两个漏洞都是预认证远程代码执行漏洞。
漏洞分析
研究人员首先查看受影响的DLL和修复后的版本来分析漏洞:

RDG可执行文件补丁安装前后BinDiff分析
很明显只有一个函数被修改了。RDG支持3种不同的协议:HTTP, HTTPS 和 UDP。更新的函数负责处理UDP。由于该函数的代码量很大,而且有许多的变化。因此,研究人员在文中用函数的伪代码表示,并且去除了一些无关代码。

URP处理函数伪代码
RDG UDP协议允许大量的消息分割成不同的分割的UDP包。由于UDP是无连接的,因此包到达时是无需的。该函数的作用的重新聚合函数,确保每个包处于正确的位置。每个包中都含有以下域的header:
· fragment_id: 表示序列中包的位置
· num_fragments: 表示序列中包的数量
· fragment_length: 表示包中数据的长度
消息处理函数用packet header来确保重新聚合的消息的顺序是正确的,和没有消息丢失。函数的实现过程中还会引入一些可以利用的漏洞。
CVE-2020-0609

包handler的边界检查
memcpy_s 会复制每个fragment到重新组合buffer中的offset,buffer是在堆中分配的。每个fragment的offset是由fragment id乘以1000计算出来的。边界检查并不会考虑offset。假设buffer_size是1000,研究人员发送了含有2个fragment的消息。
· 第一个fragment (fragment_id=0) 的长度是1。 this->bytes_written 是0,所以边界检查通过了。
· 会有1个字节写入offset为0的buffer,bytes_written会增加1。第二个fragment      (fragment_id=1) 的长度是998, this->bytes_written 是1,1+998仍然小于1000,所以检测检查仍然是通过的。
· 998字节会写入offset      为1000(fragment_id*1000)的buffer中,这会让998字节传递到buffer的末尾。
需要说明的是包并不是有序发送的。所以,如果发送的第一个包fragment_id=65535,那么offset就等于65535*1000,65534000字节超过了buffer的尾部。通过修改fragment_id,就可以在缓存的尾部的1到65534000之间写入999字节。该漏洞要比典型的线性堆溢出漏洞更加灵活。不仅可以控制写入数据的大小,还可以控制写入的offset。有了精准控制后,就可以实现准确地写,避免不必要的数据破坏。
CVE-2020-0610

收到的fragment的包处理的追踪
Object类有一个32位无符号整数数组(每个fragment一个对应的无符号数)。接收到fragment后,对应的数组记录就会被设置为0或1。一旦元素被设为1,就表明消息重新组合完成了,并且消息可以被处理。数组的空间最多有64条记录,但fragment ID的范围为0到65535。只验证了fragment_id 小于 num_fragments (也可以被设置为65535)。因此,将fragment_id设置为65到65535可以在数组边界外写入1 (TRUE)。虽然看起来设置为1并不会引发RCE,但实际上一个小的修改都会堆程度行为带来巨大的影响。
缓解措施
如果无法安装补丁,仍然有一些预防漏洞被利用的方法。RDG支持HTTP、HTTPS和UDP协议,但该漏洞只存在于处理UDP的代码中。禁用UDP传输或将禁用UDP端口(3391)都可以预防漏洞利用。

RDG设置
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载