日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。
( H- j( R; L4 } T" m1 {; p
) M9 w. T# E$ O2 d6 _% W' ASymantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。$ e7 u9 W& {* I. {5 a1 l% I
5 a+ k. q+ L. g) O! E
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
4 {6 G# E6 [$ D7 N d" O; \1 q: X
5 _/ S7 o6 ~; k 6 F! i3 M1 S5 ~9 F; S( F
8 S$ D2 ~% ?! N' ^function at 0x10024C20 is responsible for dispatching ioctl codes:
* m6 Y: ]' S" a! u4 p5 L6 X5 K2 z6 [8 c5 N- [2 X5 g1 y1 q/ o
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return); h, c; ^ P: E( c M* [
.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6A�p$ A1 k/ n4 D3 t7 l" p$ \9 x" P1 r8 O, w
.text:10024C20/ e( U5 O7 j& d8 p( Q) F- n/ s: M
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch% m$ E1 ]# c7 ]! S
.text:10024C20 var_31 = byte ptr -31h
2 Z# {4 }7 Y H1 z) C.text:10024C20 var_30 = dword ptr -30h
O! _1 X' {3 m( n.text:10024C20 some_var = dword ptr -2Ch
, D2 \- Z2 T/ N$ v" o$ [: c.text:10024C20 var_28 = dword ptr -28h
7 ~/ s {3 ^( g8 {.text:10024C20 var_24 = byte ptr -24h
$ y- L& _7 o N, ~. p.text:10024C20 var_5 = byte ptr -5
' b; h5 p# F$ y# |0 U5 F3 p J.text:10024C20 var_4 = dword ptr -4
) y; Z5 w* B# i.text:10024C20 ioctl = dword ptr 8
* C# u) n% b8 D.text:10024C20 inbuff = dword ptr 0Ch/ x$ A4 @) Z- c3 r3 `, y$ g) ]; O
.text:10024C20 inbuff_size = dword ptr 10h
: b2 [0 w5 u9 f/ V. Y! h.text:10024C20 outbuff_size = dword ptr 14h5 C& `" G* g; D8 m4 n& z
.text:10024C20 bytes_to_return = dword ptr 18h
. l+ |2 B. m# ^- w$ A9 h" |) Y.text:10024C20
" P) C$ J) t8 I0 r# T0 N5 E.text:10024C20 push ebp& X; `' E, Y" X9 ]+ V$ b
.text:10024C21 mov ebp, esp6 J3 Q: D$ H9 P
.text:10024C23 sub esp, 3Ch! F5 J, h) e: ~4 @3 {1 u. ]
.text:10024C26 mov eax, BugCheckParameter2
# q- H! u& m4 o.text:10024C2B xor eax, ebp* ]7 h3 k8 Q4 A
.text:10024C2D mov [ebp+var_4], eax5 `7 T ^6 Y- ~2 t3 G
.text:10024C30 mov eax, [ebp+ioctl]8 j3 O1 |" f4 a, n
.text:10024C33 push ebx7 W2 O5 \- V7 Q8 d
.text:10024C34 mov ebx, [ebp+inbuff]
& n- k3 m1 v0 j+ M: s" ]( `.text:10024C37 push esi, C' B/ \; e1 J3 P" {; E
.text:10024C38 mov esi, [ebp+bytes_to_return]
`& Z2 _1 F& V8 D.text:10024C3B add eax, 7FFDDFD8h! |; R; h3 k2 X# h' d2 {
.text:10024C40 push edi2 i3 @8 v# ~/ O4 Y3 K7 v
.text:10024C41 mov edi, ecx# `5 u* T9 ?0 i6 @' ]. f/ l, B% i
.text:10024C43 mov [ebp+some_var], esi- b( o1 ]7 {8 p3 {- |& \2 x9 K, V
.text:10024C46 mov [ebp+var_28], 0
/ d! q5 L9 i6 B7 u.text:10024C4D cmp eax, 0A4h ; switch 165 cases
6 Q8 M5 O9 l/ p- ^. l.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case0 z6 Y! ]" x* C \3 U
.text:10024C58 movzx eax, ds:byte_10025BF0[eax], x) n" Z) c) g
.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump
4 V5 V9 I9 O: U6 P
' B ^6 W8 [- s; f[..]0 t1 ]* R" D9 E- {2 O$ {; }/ W
+ m' V! _3 |( ^
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!* D9 F7 {3 R0 s
. |: e Z: c5 a; M, m" U( ?.text:10024F5A lea ecx, [edi+958h]7 [! Y' s3 _' H! P. Z! } s* B- e
.text:10024F60 call sub_100237B0
8 Q& y+ F. d/ m! {7 F8 z8 ^ f! g.text:10024F65 mov [ebp+some_var], eax
* l* z& U' ?( {5 X5 f.text:10024F68 test eax, eax
5 f* }1 U$ [ K9 @.text:10024F6A jnz short loc_10024F7D
5 D$ p# i4 t, [9 \3 L.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh
, ?$ `3 L9 @. i0 X2 Q' g.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer
9 }, X% ~" C$ t/ ?3 O, a/ Y; H$ `+ m% \% z6 P: B
next in IofComplete request will be rep movsd at pointer, that is under attacker's control
$ H, G: ?4 R* V/ Q9 Y% s: b1 n2 D% I" I9 E5 k8 C+ ]
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
) G4 U' E4 G1 ^% M. ?
; T6 n& @( ^8 _Symantec表示在2月份的补丁包中修复该漏洞。
$ a' t9 C [8 U, f7 j
- i# A# D. N. |" C' v1 f( [相关阅读:% W, \( ?1 {# {. Q( q/ O
0 Y! e& S) N7 O9 T1 v8 X N/ A8 P
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。* I' r- `5 G/ [) a% p! [" i
6 u2 ?9 y7 k$ q5 m7 y/ v& ]" M2 c |
发表于 2013-1-11 21:11:47
收藏
支持
反对