中国网络渗透测试联盟

标题: Symantec完整磁盘加密软件爆0day漏洞 [打印本页]
作者: admin    时间: 2013-1-11 21:11
标题: Symantec完整磁盘加密软件爆0day漏洞
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。6 h5 c8 w( a, R4 g- q5 T  A1 ^0 v
% O. J1 O4 c; n7 g( p# H2 z3 B
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
% N/ H. N2 K4 Z& m; O+ C; B( \$ g' `9 p# z" N* y  y; F0 I
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
! m  ?6 H# j( J0 j! W) w. L) z5 ?( J) K2 ?

9 r2 e! L1 g5 [1 x# `3 s  [8 M+ t8 q" J. a. B. g6 f; N  d4 T
function at 0x10024C20 is responsible for dispatching ioctl codes:
: h( y$ i# W) G! v- ~4 V
* \  c1 {4 x; S7 a$ C7 d5 [.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)) y* |& L  ~/ o6 \! s
.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap% A. Z- G0 l1 k6 S' L, r" W' L
.text:10024C20
8 o4 }. T# m9 e" }( f9 s. P.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch8 D6 t1 T; Y* [6 T! k. c" D, E
.text:10024C20 var_31          = byte ptr -31h0 `4 I) D3 O1 w/ N' ^# M4 j; c% B
.text:10024C20 var_30          = dword ptr -30h
; h2 I  c4 \: x* w.text:10024C20 some_var        = dword ptr -2Ch& |2 s4 p3 Y! {8 `& t
.text:10024C20 var_28          = dword ptr -28h
! O. J2 I$ f% G.text:10024C20 var_24          = byte ptr -24h2 d6 @3 ^' }0 y9 U" u7 B
.text:10024C20 var_5           = byte ptr -5
5 E3 s( l! ?( I1 `! }) N6 y.text:10024C20 var_4           = dword ptr -4
2 z; w( b; f8 f.text:10024C20 ioctl           = dword ptr  80 v8 e8 c) B( T9 M4 z
.text:10024C20 inbuff          = dword ptr  0Ch
$ \. j3 \2 `5 D1 a, \1 \; g.text:10024C20 inbuff_size     = dword ptr  10h4 }: E% S; X* T  L* u4 \% x
.text:10024C20 outbuff_size    = dword ptr  14h1 c. [. m' ~1 k) M
.text:10024C20 bytes_to_return = dword ptr  18h
+ `+ j1 u' F2 g0 Q  R1 X( L.text:10024C20
0 n7 f/ T2 g' C' K6 {% L.text:10024C20                 push    ebp
: o6 Q, h' @, |1 L; Y* X( ~4 K, v.text:10024C21                 mov     ebp, esp
2 Z! V4 j7 m; p, I( F.text:10024C23                 sub     esp, 3Ch; I" A# \8 C9 _8 [) Z" s' z
.text:10024C26                 mov     eax, BugCheckParameter2* {7 n" j3 x4 q
.text:10024C2B                 xor     eax, ebp
( ^8 s# R" f7 |. y( [% p.text:10024C2D                 mov     [ebp+var_4], eax7 N; b& ?0 _  m2 K- F
.text:10024C30                 mov     eax, [ebp+ioctl]
0 |, c2 z* e9 |- o.text:10024C33                 push    ebx. }, H* s2 ?" F+ _0 D' G' m" h
.text:10024C34                 mov     ebx, [ebp+inbuff]7 x: O1 [& Y  N% f
.text:10024C37                 push    esi/ Q" U- A8 {! [0 }$ o
.text:10024C38                 mov     esi, [ebp+bytes_to_return]8 [" _# j# J$ H' q! A: l9 S: o, y# j5 |
.text:10024C3B                 add     eax, 7FFDDFD8h9 m- d- D8 w7 N
.text:10024C40                 push    edi3 r+ ?2 N3 s9 v1 ~0 a
.text:10024C41                 mov     edi, ecx. j8 N' t( G8 ]! |# ~5 J; _) F- O
.text:10024C43                 mov     [ebp+some_var], esi
% T6 j( k0 _0 t7 \( \.text:10024C46                 mov     [ebp+var_28], 0
' `! s# e" m9 d3 `.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases& Z6 K# ~: S) N, i! ^2 T3 h
.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case
$ T' G; n. p) r& ]9 f% t2 Y.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]* l* B: _  \( c
.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump7 d& u+ I! U5 J9 w
7 z+ A/ u8 O3 R. h$ a" _
[..]+ ~1 O$ |1 K4 _. p! b  p2 l
( B! u! {, d0 O0 n  W
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!' |4 J  C, a- Y

/ b7 F! |5 N2 t.text:10024F5A                 lea     ecx, [edi+958h]
; g% e% J- m9 d1 w: w.text:10024F60                 call    sub_100237B03 G! X& h! V  \9 f$ P( e5 h
.text:10024F65                 mov     [ebp+some_var], eax
3 ~/ _' c8 `- ]6 }: |9 T+ l.text:10024F68                 test    eax, eax4 L$ Y, i; T& ]. g1 J1 e
.text:10024F6A                 jnz     short loc_10024F7D
$ O+ }3 z+ H" u' F" c" n.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh/ a: j( q) e: \' o" e
.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer
% F0 X% R. e  Q$ ]% G) F
: R; X6 D0 I$ H& Jnext in IofComplete request will be rep movsd at pointer, that is under attacker's control
7 ]8 q8 h5 }6 T0 J& i9 X. M% W" z- g% z9 v' S# P( ^  }
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0. # p$ p. ]) k' {5 Y$ k* Y' u

! a4 Z& U( I5 \, J: _9 \* qSymantec表示在2月份的补丁包中修复该漏洞。
  ~( v4 {! A( b4 T8 s" r7 ]* i  [( b4 D
相关阅读:
0 S2 N# d* E& ]; e0 b
( F  s; P7 [! Z5 n赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
. M/ m6 U8 q$ E  d) h! S, r/ c$ p/ _! W/ L$ H5 d1 }9 R' w% v, R6 K9 T




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2