cve-2012-0002（ms12-020）深度分析报告.pdf

CVE2012-0002(MS12-020)深度分析报告 启明星辰研发中心 安全研究团队 2012/3/31 漏洞概况 近期爆出了一个微软 RDP 协议远程溢出/拒绝服务漏洞(MS12-020)。目前网络上已经 出现针对该漏洞的攻击代码，可以导致未打补丁的 windows 系统出现蓝屏，实现 DOS 攻 击。由于远程桌面协议 RDP 被广泛应用，所以该漏洞影响范围比较大。启明星辰已经在漏 洞公布的 24 小时内更新了入侵防御及漏洞扫描产品的特征库，可以正确的检测，识别，及 阻断类似攻击。 本文就该漏洞形成的直接原因作了些许剖析。水平有限，还望大家指教。样本采取的是 网上流传的 python 脚本。 该 漏 洞 的 原 因 在 于 在 初 始 化 连 接 中 客 户 端 发 送 给 服 务 端 的 数 据 包 中 的 maxChannelIds 异常导致，当该数值小于 6 的时候，则会出现问题。崩溃时候的情况如图： 基于 RDP 的应用一般包括三个部分：终端服务器，传输协议以及客户端。这里客户端 即我们通常所说的远程桌面连接的控制端，服务端即我们通常所说的被控端。RDP 协议的 连接过程如下，首先客户端和服务器需要进行网络套接层的初始化连接，之后需要建立 RDP 协议底层连接，得到连接确认后才会开始进行通信。当基本的 RDP 连接建立后，需要进行 客户端与服务器的系统环境、RDP 连接环境的信息交流与连接确认（Connect Initial PDU）。 在 RDP 协议中，图像信息、声音信息、设备信息、剪贴板内容都是各自以单一的虚拟通道 进行传送的。虚拟通道的初始化信息则是在 Connect Initial PDU 这个过程中完成的。该漏 洞也发生在该过程中。 漏洞分析 1. 向目标机器发送有问题的数据包。 数据包抓包如下： 2. 在具体分析之前，先来看几个重要的结构（以下结构的名称大多为分析者所取，不一定 完全准确） Client Network Data：该结构为客户端传过来的相关数据，主要描述需要建立的虚拟通道 信息。该结构大致如下： Client Network Data{ Header ;一般为 CS_NET (0xC003) Structlength ;结构大小 channelCount ;需要申请的通道个数,必须小于 31 channelDefArray ; 各个需要申请的通道信息结构数组 } channelDefArray 是由 CHANNEL_DEF 结构组成 CHANNEL_DEF{ name (8 bytes); channel 名称 options(4 bytes) ; channel 属性标志 } ConnectInfo { 0x04 UnknownStruct 0x0c UserInfo 0x10 ChannelId 0x14 ChannelInfo 0x18 DomainInfo 0x1C UserInfoFlag；记录 UserInfo 的相关情况 0x20 UserId 0x2C ChannelCount 0x30 FinalChannelCount 0x34ChannelRequestArray（根据客户端传来的请求构造 ChannelRequest 结构， 每个 ChannelRequest 结构占 36 个字节) } ChannelRequest(36 bytes)结构大致如下 { 0x0 CHANNEL_DEF:name(8 bytes) ;请求的 Channelname 0x8 Ch