中国网络渗透测试联盟

标题: Symantec完整磁盘加密软件爆0day漏洞 [打印本页]
作者: admin    时间: 2013-1-11 21:11
标题: Symantec完整磁盘加密软件爆0day漏洞
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。7 X3 Q9 C6 [& q* Z0 }. c
: O+ b/ p' J, h4 Q) k5 }6 ?
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
( w  @; P* _5 d3 R- q1 @& M# `4 g# q8 [% j$ a! u% C( J
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:+ [+ u0 p3 D& k, d& T

% w0 E: S+ e: M9 P
6 B) ^& ]* M8 x5 ^
/ T9 B; d0 i" R: Ofunction at 0x10024C20 is responsible for dispatching ioctl codes:' ]6 A* E0 I  I, o" ]1 q
8 N# {5 L% x% u: r9 q5 I4 y! R
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)- x7 E) A! U3 ~& ]( N2 B
.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap
; I% N! Z# ~$ n2 F.text:10024C20( a- r4 y* G5 K) H* @2 D% n
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch3 Q8 d. f" A# w: }. f8 c- t
.text:10024C20 var_31          = byte ptr -31h
3 N# g2 v* b  v$ t% ], D3 B* p.text:10024C20 var_30          = dword ptr -30h
0 R. I7 [+ J" ], O2 t" B& w.text:10024C20 some_var        = dword ptr -2Ch0 \# W- d* w  f  [& Q
.text:10024C20 var_28          = dword ptr -28h3 ]$ g# x9 {8 Y1 y
.text:10024C20 var_24          = byte ptr -24h! d4 ^2 ^" f2 G
.text:10024C20 var_5           = byte ptr -5; x6 A' V( L8 f  u0 b; w+ z' p; H
.text:10024C20 var_4           = dword ptr -4
$ ~2 M- v( G3 G! g- s.text:10024C20 ioctl           = dword ptr  8
. a& L5 _9 M6 k.text:10024C20 inbuff          = dword ptr  0Ch
$ O3 C/ _/ R5 D8 x9 f2 l.text:10024C20 inbuff_size     = dword ptr  10h- h6 d5 r0 _$ k8 h# o6 d, C- T
.text:10024C20 outbuff_size    = dword ptr  14h' x' \; ]3 P' q1 g, b7 F# H7 |
.text:10024C20 bytes_to_return = dword ptr  18h
% a. ?+ T# C9 F( z, Q.text:10024C20
, t" C  h. G2 L.text:10024C20                 push    ebp
  Q$ V3 @/ m" H: A.text:10024C21                 mov     ebp, esp
# @- L: c& D% u" _' j& P) B# w.text:10024C23                 sub     esp, 3Ch" e' _2 ]& e, h# ?
.text:10024C26                 mov     eax, BugCheckParameter2$ E( H8 V1 a% o; o
.text:10024C2B                 xor     eax, ebp7 b: j# Q( ?, B% B7 Q, g# q
.text:10024C2D                 mov     [ebp+var_4], eax4 u+ y; G; @, v3 i
.text:10024C30                 mov     eax, [ebp+ioctl]; E- a# U( N' E" a1 I, I) I
.text:10024C33                 push    ebx
( \) ~& W! v. \: J% M.text:10024C34                 mov     ebx, [ebp+inbuff]; G0 c6 s; ?4 G& z* p
.text:10024C37                 push    esi
6 L- @+ y; U3 q.text:10024C38                 mov     esi, [ebp+bytes_to_return]: [5 r# h  \7 H0 {- w. h- ~" o! u
.text:10024C3B                 add     eax, 7FFDDFD8h  U$ o* z3 K& q7 J( P$ Z* a* S
.text:10024C40                 push    edi* k0 D6 y( z! `6 t
.text:10024C41                 mov     edi, ecx
) b+ |5 @" ^; @7 @" ]: h.text:10024C43                 mov     [ebp+some_var], esi
2 M% F' o& G) X! }.text:10024C46                 mov     [ebp+var_28], 0
  x: }0 o) Y$ N3 @& b2 u2 ~  X$ I.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases
. ?/ C$ t: |: y" c; a.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case# [) C! M5 B, @9 a9 a1 H  V: p6 w
.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]& q- W4 z3 `& [1 u6 Y7 g  C9 K
.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump
2 u5 ]3 ]6 a0 F% A  Z
! f4 f* r7 ~; e. M[..]
# j$ U6 x9 n+ ?
% ]5 B2 f5 j6 E0x80022058 case: no check for outbuff_size == 0! <--- FLAW!9 A6 N) t" K8 o( b4 _) {
1 ^  @% n, T3 J9 B4 q6 k2 y( t
.text:10024F5A                 lea     ecx, [edi+958h]. e/ e4 J5 K, P1 T  |) F8 g2 i' v; V
.text:10024F60                 call    sub_100237B0* i1 a& \$ @* K3 _
.text:10024F65                 mov     [ebp+some_var], eax! b% H) a0 J% w; g9 h, y
.text:10024F68                 test    eax, eax
. N) g5 D8 y0 x( E9 p3 j# L.text:10024F6A                 jnz     short loc_10024F7D
6 x% w/ g, d  y5 s.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh
- L  ^8 \. l) w.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer
( d8 w* u# X4 v7 ~0 H
1 j9 U+ N# t4 a3 ]9 p8 a2 snext in IofComplete request will be rep movsd at pointer, that is under attacker's control
8 G9 K$ l' n: n' ~  @  b
; m- d3 ^- y9 ?2 M+ D9 @Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
! D( L- }* o% Q7 l0 u+ D; K8 @7 D
9 k' M% S' F; e" ^, T- k& N1 [Symantec表示在2月份的补丁包中修复该漏洞。( I$ M! ^5 t, X" N  C+ V8 a6 B# E
# a. L" p( e' I! O9 ]6 m
相关阅读:
+ X# k) ]4 {* e- F3 L7 z' |
9 W5 A' f  m( Y赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。5 C* @( J8 x- c8 L; P. }: [, d$ ]
) j0 Q5 J( R  p4 ^0 V, K) j# P




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2