这个补丁摞补丁的RPC漏洞到底是怎么回事？

news2024/11/22 6:20:20

前段时间，微软Windows系统曝出的远程过程调用（RPC）漏洞可谓影响深远，Windows 7与后续的Windows客户端系统，以及Windows Server 2008与后续的Windows服务器系统均被波及。

但在微软发布补丁后，Akamai安全研究人员Ben Barnea发现同一组件依然存在未修补的类似漏洞。报告给微软后，微软也迅速响应，第一时间公开了相关信息并发布了补丁程序。

除了第一时间安装补丁程序修补该漏洞，又该如何限制该漏洞在自己内网中横向移动？Akamai将通过本文向大家介绍此漏洞的相关细节。

一、背景

2022年4月12日，微软针对远程过程调用（RPC）运行时库（rpcrt4.dll）中的三个漏洞发布了补丁程序。这些漏洞的CVE分别为：CVE-2022-26809、CVE-2022-24492以及CVE-2022-24528。受影响操作系统包括Windows 7、8、10和11，以及Windows Server 2008、2012、2019和2022。

借助这些漏洞，未经授权的远程攻击者将可以借助RPC服务的权限在受影响计算机上直接执行代码。这种能力既可以用于突破网络防御，也可以用于横向移动，因此不可避免会被攻击者和勒索软件操作者所利用。微软将这些漏洞分类为“可被利用”的漏洞。由于严重性极高（CVSS 9.8），Akamai决定深入研究修补后的库文件，并分享我们的发现。

我们发现，其中两个漏洞与整数溢出有关，作为应对，补丁程序增加了一个验证是否发生整数溢出的检查，借此即可防止利用此漏洞。然而在调查中我们又发现了另一个漏洞，该漏洞利用了之前发现的同一个变量的整数溢出，但已发布补丁所进行的检查并未涵盖该漏洞，也就是说，补丁程序并不能缓解这个新发现的漏洞。

在将相关情况告知微软后，我们现在可以概括谈谈这个新RPC漏洞的细节了。该漏洞是在四月补丁日（照惯例，微软一般会在每月的第二个周二定期发布系统更新，即“补丁日”）发现的，五月补丁日发布的新补丁已成功修复了Akamai发现的新漏洞（CVE-2022-22019）。该漏洞同时存在于服务器和客户端版Windows中。

二、这个漏洞到底是怎么回事？

为了理解新发现的RPC漏洞，首先需要看看四月修补过的老漏洞。该漏洞源自RPC运行时库中存在的整数溢出Bug，被滥用后可能导致堆缓冲区溢出，也就是说，数据会被复制到缓冲区中，但缓冲区太小，无法容纳完整数据。这种情况会导致数据被写入到堆缓冲区边界范围之外，如果精心安排写入的数据，可能导致远程代码执行问题。

为了修复该漏洞，微软在ProcessReceivedPdu中新增加了一个调用：

该调用会触发一个函数来检查整数参数是否溢出：

查看OSF_SCALL::GetCoalescedBuffer（发生堆溢出的函数）就能看到新增加的检查：

GetCoalescedBuffer负责合并在ProcessReceivedPdu中排队的缓冲区片段。当已排队的片段总长度与当前接收的缓冲区长度相加后，就会出现最初的整数溢出，这种相加导致了溢出的发生。微软通过调用一个函数来检查溢出，修复了最初发现的漏洞。

然而该补丁只在部分程度上解决了这个漏洞。Akamai在研究中发现，在为合并后的新缓冲区分配内存之前，代码在分配大小上又额外增加了24字节（参见上文对OSF_SCALL::TransGetBuffer的调用）。这24字节恰巧是一个名为rpcconn_request_hdr_t的结构的大小，该结构充当了缓冲区的头部。由于原先的补丁是在添加头结构大小之前进行整数溢出检查的，因此没能考虑到这个头结构，这可能导致补丁试图缓解的整数溢出问题再次发生。

目前，新发现的漏洞（一个位于客户端函数中，一个位于服务器端函数中）已被成功缓解。新补丁添加了另一个调用，借此可验证额外增加的24字节不会溢出。