CVE-2019-0725 Windows DHCP服务器远程代码执行漏洞分析

CVE-2019-0725 Windows DHCP服务器远程代码执行漏洞分析 漏洞概述 CVE-2019-0725是Windows动态主机配置协议(DHCP)服务器中的一个远程代码执行(RCE)漏洞，影响所有版本的Windows Server。该漏洞由竞争条件引起，CVSS 3.0评分为8.1，被微软评为"严重"级别。 漏洞影响 影响范围 ：所有版本的Windows Server 攻击复杂度 ：高（需要精确的时序控制） 特权要求 ：不需要特权 影响后果 ：系统级代码执行，影响机密性、完整性和可用性 用户交互 ：不需要用户交互 技术背景 DHCP协议工作流程 DISCOVER ：客户端广播发现消息 OFFER ：服务器响应提供IP地址 REQUEST ：客户端请求确认IP地址 ACK ：服务器确认分配 DHCP服务器实现 实现于 dhcpssvc.dll 通过 svchost.exe 运行 使用 PendingCtxt 结构跟踪待处理IP地址分配 漏洞细节 竞争条件分析 漏洞存在于 ProcessMessage() 函数处理DHCP消息的过程中，特别是处理 DISCOVER 消息时的 ProcessDhcpDiscover() 函数。 关键问题点： 对 PendingCtxt 结构的访问保护不完整 在离开第一个临界区和进入下一个临界区之间存在时间窗口 在此期间，另一个线程可能释放 PendingCtxt 结构 漏洞触发流程 服务器线程进入 ProcessDhcpDiscover() 进入临界区( DhcpGlobalInprogressCritSect )，查找或创建 PendingCtxt 离开第一个临界区 在进入下一个临界区前，直接访问 PendingCtxt 结构（通过RBX寄存器） 在此期间，攻击者发送 RELEASE 或特殊 REQUEST 导致 DhcpDeletePendingCtxt() 被调用 导致释放后的内存访问(UAF) 利用方法 攻击步骤 发送多个 DISCOVER 消息： 第一个创建初始 PendingCtxt 第二个查找并访问已创建的 PendingCtxt 发送定时精确的 RELEASE 或特殊 REQUEST 消息： 触发 DhcpDeletePendingCtxt() 调用 释放 PendingCtxt 结构 通过大量重复上述操作触发竞争条件 利用挑战 时间敏感性 ：需要精确控制消息发送时序 成功率 ：测试显示需要10秒到几分钟才能成功触发 网络流量 ：需要生成大量DHCP消息 稳定性 ：更可能导致服务崩溃而非直接代码执行 缓解措施 及时应用微软提供的安全补丁 在网络层面监控异常的DHCP流量模式 考虑使用网络隔离技术限制对DHCP服务器的访问 实施入侵检测系统监控DHCP服务异常行为 参考链接 原文链接： Trend Micro分析文章