Windows DHCP Server远程代码执行漏洞分析（CVE-2019-0626）

宣布时间 2019-02-19

漏洞配景

2月12日，微软宣布2月份月度例行宁静通告，修复了多个高危漏洞，其中包罗Windows DHCP Server远程代码执行漏洞CVE-2019-0626。当攻击者向DHCP服务器发送精心设计的数据包并乐成利用后，就可以在DHCP服务中执行任意代码，漏洞影响范围较大。针对此漏洞，东森平台ADLab第一时间对其进行了详细分析。

漏洞影响版本

Windows 7
Windows 8.1
Windows 10
Windows Server 2008
Windows Server 2012
Windows Server 2016

Windows Server 2019

协议简介

DHCP，动态主机配置协议，前身是BOOTP协议，是一个局域网的网络协议。DHCP通常用于集中管理分配IP地址，使client动态地获得IP地址、Gateway地址、DNS服务器地址等信息。DHCP客户端和DHCP服务端的交互过程如下图所示。

东森·(中国区)官方网站

传输的DHCP协议报文需遵循以下格式：

东森·(中国区)官方网站

DHCP包罗许多类型的Option，每个Option由Type、Length和Data三个字段组成。

东森·(中国区)官方网站

Type取值范围1~255，部门Type类型如下图所示。

东森·(中国区)官方网站

DHCP服务在处置Vendor Specific 类型（Type=43）的Option结构存在宁静漏洞。首先看下DHCP服务法式对Option的处置过程， ProcessMessage函数卖力处置收到的DHCP报文，调用ExtractOptions函数处置DHCP的Option字段，传入函数ExtractOptions的参数1（v7）为DHCP报文指针，参数3（*(unsigned int *)(v5 + 16)）对应指针偏移位置+16的数据，即Len字段。

东森·(中国区)官方网站

ExtractOption函数如下所示。 v6 = (unsigned __int64)&a1[a3 - 1];指向报文末尾位置；v10=a1+240;指向报文中Option结构。在for循环中处置差异类型的Option结构，当type=43（Vendor Specific Information），传入指针v10和指针v6作为参数，调用ParseVendorSpecific函数进行处置。

东森·(中国区)官方网站

ParseVendorSpecific函数内部调用UncodeOption函数。UncodeOption函数参数a1指向option起始位置，a2指向报文的末尾位置。UncodeOption函数存在宁静漏洞，下面结合POC和补丁比对进行分析。

漏洞分析

结构一个DHCP Discovery报文，POC如下所示，POC包罗两个vendor_specific 类型的Option结构。vendor_specific1是合法的Option结构，Length取值0x0a即是Data的实际长度（0x0a），vendor_specific2是不合法的Option结构， Length取值0x0f大于Data的实际长度（0x0a）。

东森·(中国区)官方网站

DHCP服务器收到Discovery请求报文，对数据包进行处置。首先执行ExtractOptions处置Options，当处置vendor_specific类型的Option时，进入到ParseVendorSpecific进行处置。POC中结构一个合法的vendor_specific1，目的是为了绕过84~85行的校验代码，使法式顺利执行到ParseVendorSpecific函数。

东森·(中国区)官方网站

ParseVendorSpecific调用UncodeOption函数，具体如下：

32~43行在do-while循环中计算Option结构的 Length值之和，生存到v13，作为分配堆内存长度。POC中包罗两个vendor_specific结构，首先处置vendor_specific1，计算v13，即vendor_specific1长度a，而且使v12指向下一个Option结构vendor_specific2，当进入43行while条件判断，由于vendor_specific2长度不合法，do-while循环结束。

48行调用HeapAlloc分配堆内存，分配的内存巨细v13=a。

51~58行在for循环中依次将vendor_specific结构中的Data拷贝到分配的堆内存中。进入第一次循环时，v1指向vendor_specific1，v8指向末尾位置，满足条件v1

补丁比对

补丁后的版本添加了对Length字段的有效性判断。

东森·(中国区)官方网站

宁静建议

及时安装宁静补�。篽ttps://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0626

东森·(中国区)官方网站

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

Windows DHCP Server远程代码执行漏洞分析（CVE-2019-0626）

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线