哪些产品受影响

　　这个DNS漏洞只对Windows的服务器平台有影响，WindowsXP和Vista用户丝毫不用担心，因为这种客户操作系统不包含DNS服务器代码，只有DNS客户端代码。DNS服务器默认情况下是关闭的，除非安装的是中小企业版或计算机被配置成活动目录控制器，这样DNS服务器才会默认打开。Windows2000、2003、长角服务器beta2都受到影响。

　　该漏洞的本质

　　该漏洞出现在RPC监听端口代码段，该端口是为DNS服务器管理所用的，反而在DNS服务主线程监听53端口的编码上没有出现问题。自从Windows XP SP2以来，微软就是用RPC通讯进行默认认证，这是个直接教训，在Blaster蠕虫中以领教。这里更有趣的是RPC端点的匿名访问方式。对于其本身来讲，匿名访问不能仅仅称之为漏洞，而应该说就是一种攻击后门，可导致大范围攻击。

　　代码

　　该漏洞出现在一个结构中的堆栈，如下：

typedef struct _CountName { 　　UCHAR Length; 　　UCHAR LabelCount; 　　CHAR RawName[ DNS_MAX_NAME_LENGTH+1 ]; 　　} COUNT_NAME, *PCOUNT_NAME;

　　该结构的一个指针被当作DNS主机名参数传递到下面的函数，如果PCOUNT_NAME->RawName溢出的话，非信任的代码就会出现在如下函数的第二个参数中。

DNS_STATUS Name_ConvertFileNameToCountName( 　　PCOUNT_NAME pCountName, 　　PCHAR pchName, 　　DWORD cchNameLength) { 　　PCHAR pch; 　　UCHAR ch; 　　PCHAR pchstartLabel; // ptr to start of label 　　PCHAR pchend; // ptr to end of name 　　PCHAR presult; 　　PCHAR presultLabel; 　　PCHAR presultMax; 　　WORD charType = 0; 　　WORD maskDowncase; 　　DNS_STATUS status; 　　INT labelLength; // length of current label 　　UCHAR labelCount = 0; 　　// result buffer, leave space for label 　　presultLabel = presult = pCountName->RawName; 　　presultMax = presult + DNS_MAX_NAME_LENGTH; 　　presult++; 　　// Character selection mask 　　// '\' slash quote 　　// '.' dot label separator are special chars 　　// upper case must be downcased 　　// everything else is copied 　　maskDowncase = B_UPPER; 　　// setup start and end ptrs and verify length 　　pchstartLabel = pch = pchName; 　　if ( !cchNameLength ) 　　cchNameLength = strlen( pch ); 　　pchend = pch + cchNameLength; 　　while ( pch ) { 　　if ( pch >= pchend ) { 　　ch = 0; 　　charType = FC_NULL; 　　} 　　... 　　// downcase upper case 　　if ( charType & maskDowncase ) { 　　// if name exceeds DNS name max => invalid 　　if ( presult >= presultMax ) 　　goto InvalidName; 　　*presult++ = DOWNCASE_ASCII(ch); 　　continue; 　　} 　　if ( charType & B_DOT ) { 　　// verify label length 　　labelLength = (int)(presult - presultLabel - 1); 　　if ( labelLength > DNS_MAX_LABEL_LENGTH ) 　　goto InvalidName; 　　// set label count in result name 　　*presultLabel = (CHAR)labelLength; 　　presultLabel = presult++; 　　if ( pch >= pchend ) { 　　if ( labelLength != 0 ) { 　　labelCount++; 　　*presultLabel = 0; 　　break; 　　} 　　presult--; 　　break; 　　} 　　// set up for next label 　　if ( labelLength != 0 ) { 　　labelCount++; 　　continue; 　　} 　　goto InvalidName; 　　} 　　// quoted character 　　// - single quote just get next char 　　// - octal quote read up to three octal characters 　　else if ( ch == SLASH_CHAR ) { 　　// if name exceeds DNS name max => invalid 　　if ( presult >= presultMax ) 　　goto InvalidName; 　　<< 注意：presult的长度未作限制 >> 　　<< extractQuotedChar 重写了 pch >> 　　pch = extractQuotedChar( 　　presult++, 　　pch, 　　pchend ); 　　} 　　}

　　我们可以看到，代码中有多处边界检查，但对于决定pch大小的重要变量presult却未加限制，因此就造成了该漏洞。教训啊，少检查一个都不行。

　　分析工具

　　一般的静态溢出代码分析工具找不出这种错误，因为该结构的本质就是超限的：

typedef struct _CountName { 　　UCHAR Length; 　　UCHAR LabelCount; 　　CHAR RawName[ DNS_MAX_NAME_LENGTH+1 ]; 　　} COUNT_NAME, *PCOUNT_NAME;

　   我们来看结构中最后一个变量，是一段缓冲区。有一些结构遵循“放在缓冲区后”原则，例如安全标识(SID)结构：

typedef struct _SID {    BYTE  Revision;    BYTE  SubAuthorityCount;    SID_IDENTIFIER_AUTHORITY IdentifierAuthority;    DWORD SubAuthority[ANYSIZE_ARRAY];    } SID, *PSID;

　　SID结构的最后一个变量是由DWORD组成的缓冲区，并且ANYSIZE_ARRAY初始化会设置成1。这就是通常所说的可变长数组，一般的静态分析工具遇到这种情况，就会有针对性的改变搜寻方式来查找bug，然而PCOUNT_NAME->RawName是固定长度数组，分析工具就不会对其进行有针对性的分析。简而言之，利用可变长数组和静态分析工具就可以检查到这种bug。

　　Fuzz测试

　　因为这是一个管理员权限的接口，只需要执行了最小的RPC Fuzz测试，虽然没有发现该漏洞，那是因为判断RPC端点是否需要认证。要提供一套接口，分析和测试是非常重要的，如果是可以远程匿名访问的接口，就一定要好好检查，其比本地管理接口出问题的可能性要大很多。要注意Fuzz测试也就这么大能耐了，其很有效，但对于发现所有漏洞来说，还远远不够。

　　操作系统防御

　　Windows2000基本没有任何防御，没有防火墙、没有/GS(编译时缓冲区安全检查指令)、没有DEP/NX(代码执行防护)和ASLR(地址空间布局随机化)，利用代码漏洞很容易。

　　Windows2003是使用/GS、DEP/NX编译的，但是没有ASLR，自带有个防火墙，但默认没开。而且由于编码的原因，即使编译时打开/GS，也漏掉了很多bug。

　　Windows长角服务器和现在的Windows2008，是以/GS方式编译，链接是采用/SafeSEH和DEP/NX以及ASLR，使得堆栈随机分布。同时自带防火墙，这种组合防御增加了安全性。

　　另一个重要的防御措施是服务重启策略，这个策略和ALSR一道增加缓冲区溢出攻击难度，因为ALSR使得攻击需要多次尝试，而服务重启策略限定了尝试次数。

　　总结

　　通过研究DNS RPC漏洞，我们要对RPC端点匿名认证多加小心，同时在缓冲区溢出检查时，注意可变长数组的用法。