日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。7 p' s4 [$ L! ]# I4 d
* v$ s2 \+ b2 o, o/ \
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
( O( [& N, v0 n! a! v" }+ F3 P1 W$ a+ ~# n7 i9 `
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
0 ?; e+ l5 T3 y. z( C4 g3 M- a2 \, Q& f. s9 l0 M0 S
" V* v$ m3 \$ C) R" C, F- o! ~6 b/ S3 W t8 C
function at 0x10024C20 is responsible for dispatching ioctl codes:
2 M0 i' b/ F' k: n* E! [$ s/ l9 w' F5 g% z9 y
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)+ z0 @, X* ?4 O. k" M
.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6A�p6 F. Y; Y2 J8 N
.text:10024C20
( f! C- k3 q2 K.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch
$ B4 z% D+ z1 @2 D# a7 K.text:10024C20 var_31 = byte ptr -31h6 z9 |4 v: V2 o7 c! k' f" ~
.text:10024C20 var_30 = dword ptr -30h
2 h1 Q) Q& { C: ^" L, h% E.text:10024C20 some_var = dword ptr -2Ch! d; D0 l9 _$ C8 h! L
.text:10024C20 var_28 = dword ptr -28h
7 i9 L' s# {! a* G5 `.text:10024C20 var_24 = byte ptr -24h; J, _ j% j8 w; B' m
.text:10024C20 var_5 = byte ptr -5; L4 Q+ N2 p, ?$ Z: r( C. P
.text:10024C20 var_4 = dword ptr -4! ^& t7 x/ v/ ]! n2 s/ k7 K, h
.text:10024C20 ioctl = dword ptr 8/ I; r9 R. N2 P+ n
.text:10024C20 inbuff = dword ptr 0Ch
& q; ^# y5 R$ O.text:10024C20 inbuff_size = dword ptr 10h
) H1 x+ r. O9 }# ^1 Y$ L) R0 ~8 l8 D.text:10024C20 outbuff_size = dword ptr 14h: V# ~8 ~- m; N& D/ e6 m- K
.text:10024C20 bytes_to_return = dword ptr 18h
- l' f7 ?2 F* `" g, b! g.text:10024C20
^& U8 }! n" Y.text:10024C20 push ebp
9 ?& B8 s c* Q# N% ^# S) W" e.text:10024C21 mov ebp, esp* J1 r- R+ s; \8 h7 ~; s
.text:10024C23 sub esp, 3Ch
' C' g$ y4 k) i) ^.text:10024C26 mov eax, BugCheckParameter2
* o2 g$ f' o6 ~1 _.text:10024C2B xor eax, ebp: L) k" B" A. f; H7 G
.text:10024C2D mov [ebp+var_4], eax* e4 w1 B, r4 Q& Y& m3 y6 j
.text:10024C30 mov eax, [ebp+ioctl]
, M f% v* ~* i; K' u4 R( ].text:10024C33 push ebx$ H! p: O) B( r- ?: Y0 H) m
.text:10024C34 mov ebx, [ebp+inbuff] C5 i: C) j4 m/ d! K
.text:10024C37 push esi
$ k0 j! M7 h7 y.text:10024C38 mov esi, [ebp+bytes_to_return]
" i* @5 n: S7 C! {4 w: A- e a/ @.text:10024C3B add eax, 7FFDDFD8h
) @! u3 i+ y* q; `.text:10024C40 push edi
: f* k( L& d' q7 i.text:10024C41 mov edi, ecx$ Z' [+ E% o" Z$ k
.text:10024C43 mov [ebp+some_var], esi
9 L2 `* N$ \5 S.text:10024C46 mov [ebp+var_28], 0
z% ?& G: J7 x6 A.text:10024C4D cmp eax, 0A4h ; switch 165 cases
; g! M2 g/ C, U! e.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case9 n' A1 d, O7 ~8 m2 b
.text:10024C58 movzx eax, ds:byte_10025BF0[eax]/ [2 ^6 R- E/ |4 O. v7 D* V) O
.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump
7 G& x. n9 h) O% U$ ~1 T- o; y2 Q; |' y* x. W8 b1 V; f
[..]
( d0 V4 N+ X" }& j/ k6 t/ d9 I, L, `2 Q+ Q; A! t
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
$ x: O8 N7 j, f+ T% U Z8 f. i% p: _$ z! Y& p" Q. m
.text:10024F5A lea ecx, [edi+958h]
8 i3 c8 a- A9 L4 r! b/ W- @- y% D.text:10024F60 call sub_100237B0- w/ r2 D/ d9 [2 D( o6 ?+ X
.text:10024F65 mov [ebp+some_var], eax4 Y- ^ b* y8 P. y9 @
.text:10024F68 test eax, eax
: k) {0 H' V2 v" q.text:10024F6A jnz short loc_10024F7D
% Y3 f* w- V$ |9 r6 L3 y.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh- Y5 w$ I. ^! r* F3 A+ R
.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer
7 s5 y( u0 U) r% g3 d8 l' X1 |3 i) c" q2 k) b
next in IofComplete request will be rep movsd at pointer, that is under attacker's control
4 z0 p' d/ G! s
4 O8 k& G' d4 [1 H# D4 kDue the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
, f- t- |. W# |2 d2 W5 r" \0 D9 M( O
Symantec表示在2月份的补丁包中修复该漏洞。
# t; U/ U+ B. z9 c) N" u- V1 K5 \5 I$ u: J
相关阅读:
* X4 p+ b3 `# i* F: n* }& P; Y; X3 V- d6 A) D- s
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。9 m% T$ z5 `1 G4 g: d/ w
0 `9 E+ ^2 z& Z' M& B |
发表于 2013-1-11 21:11:47
收藏
支持
反对