历史上的重大软件BUG启示录 第6篇---蠕虫“冲击波”

RPC（远程过程调用）是一种进程间通讯机制，最初由 Sun 公司提出，目前为 IETF 标准协议。RPC 协议允许一台计算机上的程序执行另一台远程系统上的代码。Windows的RPC服务也是以RPC为基础开发的。

2003年某个时候，LSD研究小组发现RPC中存在一个缓冲区溢出漏洞：当发送一个特定包时，会导致Windows RPC服务无提示的崩溃掉！

LSD小组向微软提交了这个漏洞，2003年7月16号，微软发布补丁程序，用于修复这个缓冲区溢出漏洞。

9天后，也就是2003年7月25日，中国的一个安全研究小组Xfocus发布了利用该漏洞的攻击测试代码（http://www.xfocus.net/vuls/20...）。据说，Xfocus小组内成员对微软提供的补丁程序进行了逆向分析，从而发现了漏洞原理以及相应的攻击方法，并将其公之于众。

26天后，即8月11日，利用RPC漏洞的蠕虫“冲击波”首次在互联网上传播。24小时后，冲击波感染了336000台计算机。截止到8月14日，冲击波已经感染了超过100万台计算机。

“冲击波”通过TCP/IP进行传播，一旦攻击成功，就会将一个病毒（msblast.exe）传送到对方计算机中进行感染，如果不能感染系统，则使系统操作异常、不停重启、甚至导致系统崩溃。一旦感染成功，该病毒会建立一个远程shell进程“后门”，该后门监听端口4444，从而允许攻击者远程控制被感染的系统。此外，该病毒还会在一个特定时间对微软的系统升级网站（windowsupdate.com）进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

根据保守估算，“冲击波”蠕虫造成的经济损失至少达到5亿美元！

“冲击波”蠕虫利用的是一个代码逻辑缺陷，问题代码如下所示（这段代码由微软提供）：

error_status_t _RemoteActivation( ...,WCHAR *pwszObjectName,...)
{
         *phr= GetServerPath(pwszObjectName, &pwszObjectName);
         ...
}
 
HRESULT GetServerPath(WCHAR *pwszPath,WCHAR **pwszServerPath)
{
         WCHAR*pwszFinalPath = pwszPath;
         WCHARwszMaxhineName[MAX_COMPUTTERNAME_LENGTH_FQDN+1];
         hr= GetMachineName(pwszPath, wszMachineName);
         *pwszServerPath= pwszFinalPath;
}
 
HRESULT GetMachineName ( WCHAR*pwszPath, 
         WCHARwszMachineName[MAX_COMPUTTERNAME_LENGTH_FQDN+1]) 
{ 
         WCHAR*pwszServerName = wszMachineName; 
         WCHAR*pwszTemp = pwszPath + 2; 
         while( *pwszTemp != L’\\’ )           /* 这句代码循环结束条件不充分*/ 
                   *pwszServerName++=*pwszTemp++; 
                   /*…*/ 
} 

错误位于第20~21行，我们单独把这两行代码拿出来：

     while( *pwszTemp != L’\\’ )           /* 这句代码循环结束条件不充分*/ 
     *pwszServerName++=*pwszTemp++; 

第一行代码使用while循环从一个长字符串中解析主机名字，结束标志为两个反斜杠（‘\’）。这里有一个逻辑漏洞，while循环的结束条件并不充分，考虑这样一个情况：攻击者故意发送的字符串中如果没有两个反斜杠，会怎样？结果是程序会一直执行代码pwszServerName++= pwszTemp++;，但是指针pwszServerName指向的缓冲区有效长度只有MAX_COMPUTTERNAME_LENGTH_FQDN+1个字节，一旦超过这个区段，则发生缓冲区溢出。如果精心设计溢出部分的数据，化数据为指令，就可以利用缓冲区溢出的数据修改PC指针的值，使之指向我们希望执行的代码，提升权限等。

这个造成至少5亿美元损失的BUG，修复只改了一行代码！修复后的代码如下所示，仅仅对while循环设置了充分的结束条件：

WCHAR *end_addr = pwszServerName+MAX_COMPUTTERNAME_LENGTH_FQDN； 
while (（*pwszTemp != L’\\’ )&& (*pwszTemp != L’\0’) 
                   &&(pwszServerName<end_addr))                /*充分终止条件*/ 
         *pwszServerName++=*pwszTemp++; 

编程是一件细致活，容不得一丝疏忽。即便是编写Windows操作系统的那些非常聪明的人，也会在不经意间埋下一颗逻辑炸弹。

相关阅读

历史上的重大软件BUG启示录 第5篇---AT&T长途电话网瘫痪事件
历史上的重大软件BUG启示录 第4篇---Google的疏忽

作者：朱工
首发博客：https://freertos.blog.csdn.net/article/details/53320168
关注FreeRTOS从基础到高级专栏，即时收取FreeRTOS系列文章。