日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。& }7 `( Y& ^4 c3 d Q
; X! n2 i3 }+ m6 I3 \8 `
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
! V. s6 C. y9 k! V4 Y& L- S( t
2 S7 ?' V$ }" P7 Q+ n! e8 s研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:, d% K6 ^: Q6 a4 B' f* k. X1 \
# b+ h/ s4 Z8 b5 t9 M, @ - f: b+ B8 b1 L5 W# B) A9 r8 `
" T/ K+ C/ q* h8 X' W
function at 0x10024C20 is responsible for dispatching ioctl codes:
7 d$ d* _! h- ^$ y* B+ j8 n! H9 J; H0 H4 }, ]6 | Z- e
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)
3 e; M- b9 ^+ B. s.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6A�p
, F# @( Q4 t7 N+ D- i: x( N' W.text:10024C207 a* G3 T' n$ k3 W1 g% g* ?
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch( G9 K* I: m4 I/ @. Z$ ^
.text:10024C20 var_31 = byte ptr -31h4 P2 S) V3 b1 i6 P7 e
.text:10024C20 var_30 = dword ptr -30h
6 ~3 _1 p( F0 e.text:10024C20 some_var = dword ptr -2Ch/ P3 h1 P' [+ j2 t+ u- U
.text:10024C20 var_28 = dword ptr -28h# ]( E2 K. {. L% ]0 v
.text:10024C20 var_24 = byte ptr -24h9 `* A7 v/ m& P( N
.text:10024C20 var_5 = byte ptr -5$ e: m( ^( a% t# J; Z/ J
.text:10024C20 var_4 = dword ptr -4
# |" H/ U* n7 R6 r! \, S i.text:10024C20 ioctl = dword ptr 8
" K# s* g; @7 n. b5 X3 S% _.text:10024C20 inbuff = dword ptr 0Ch
% \) M( r. K9 x4 {4 l.text:10024C20 inbuff_size = dword ptr 10h
+ V2 G0 w$ P4 E. Q.text:10024C20 outbuff_size = dword ptr 14h% W3 J* }5 P& W+ i$ ~, `
.text:10024C20 bytes_to_return = dword ptr 18h, c" z8 w8 M% D& m3 a; _' a4 |" X
.text:10024C20
8 ^& e9 u+ k' d6 [: G* ].text:10024C20 push ebp6 P4 [& l& N7 A! ?" h
.text:10024C21 mov ebp, esp8 i5 k2 N* p0 L7 Q
.text:10024C23 sub esp, 3Ch
0 z$ C; }" e8 S: i' h.text:10024C26 mov eax, BugCheckParameter2( }9 [# Q3 q2 r1 ?) C
.text:10024C2B xor eax, ebp
# x5 y9 e" O0 w: m1 ?$ D.text:10024C2D mov [ebp+var_4], eax. L6 Q6 O9 b0 V3 E
.text:10024C30 mov eax, [ebp+ioctl]8 F/ |* }( a5 i; a" d
.text:10024C33 push ebx
/ {' x+ E0 c% }/ s }.text:10024C34 mov ebx, [ebp+inbuff]
4 l7 d g# r: C, S3 K5 e.text:10024C37 push esi
- t, G* Q6 o4 Q.text:10024C38 mov esi, [ebp+bytes_to_return]4 d. d- Y$ X, a! X2 t. ?+ ]
.text:10024C3B add eax, 7FFDDFD8h
- P6 S5 _8 `' I.text:10024C40 push edi
' h) r4 a$ s& {) h5 ?% P: E.text:10024C41 mov edi, ecx
! L. @ s6 O) `9 r( A o.text:10024C43 mov [ebp+some_var], esi' i8 M1 n$ d: e' o
.text:10024C46 mov [ebp+var_28], 0
, F( j5 A. b6 g2 l; a2 l: W5 O.text:10024C4D cmp eax, 0A4h ; switch 165 cases$ V* D) W$ Y' C" }6 Z$ g/ I
.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case
- ?8 I& h5 o7 w+ g6 t/ `) M' z.text:10024C58 movzx eax, ds:byte_10025BF0[eax]
( i3 M/ z; y$ j1 z4 x. W5 y' a }.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump% n& Z3 S. ~& B6 f3 g! X4 P7 @
. ?/ o+ i, W0 a7 T4 k& ][..]4 I1 s2 p5 @/ X* r m
, O* o0 l+ t4 \* E5 S
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
* ]- Z; h6 N1 d a g. Z
5 s$ m0 O9 C( ~# m4 L R.text:10024F5A lea ecx, [edi+958h]
8 R* h* ~8 W" }4 ], i.text:10024F60 call sub_100237B0( N; }# f: Q' a% Z- m* z
.text:10024F65 mov [ebp+some_var], eax
# A9 O( y- L1 K# R6 Q( L' G.text:10024F68 test eax, eax; l W% ~" ^" g! Y3 B& C9 K
.text:10024F6A jnz short loc_10024F7D
5 f' h/ v, K: G) t$ ~.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh
' i0 A9 y! j: I2 O.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer
+ T6 K2 @, X' F4 E; S' A! e' Q* Q9 y: Z) i$ w; {5 S0 y' E: `, H
next in IofComplete request will be rep movsd at pointer, that is under attacker's control# [9 X* z: f1 o. s4 J, o* [- q3 B% ~
* I+ \7 N# X3 B9 `$ \
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
, t. {8 [. }) a% F+ h4 q G; I3 r, S2 K' D0 S
Symantec表示在2月份的补丁包中修复该漏洞。
6 \; f, ~+ ?9 L2 q
0 l7 ~% f9 g' @/ S) l相关阅读:3 _' v" @- c( e; s- ]( x% K8 z! G
e- h1 j4 i/ J/ i' b/ {
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
4 j! W1 D2 I! p, U j
* N: H' J- g* E |
发表于 2013-1-11 21:11:47
收藏
支持
反对