找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Symantec完整磁盘加密软件爆0day漏洞
返回列表 发新帖
查看: 2731|回复: 0
打印 上一主题 下一主题

Symantec完整磁盘加密软件爆0day漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:11:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。/ @( \5 D7 J' S9 a+ j+ Z

1 u( \% J6 S$ b8 s# tSymantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
- P  E; V! C% q2 d: B; b$ `0 r' ]! j* F( R3 S# ?8 W
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:2 ~( ?2 J% r+ u8 U/ t2 X: l
2 N. F* ^, I( [# g

( ~! ?6 |- L- B  Z& g' f
& r: U/ D* W; a9 v9 L. b/ qfunction at 0x10024C20 is responsible for dispatching ioctl codes:
( d& w5 a0 H. w) ^5 m/ v7 X' o6 `! F( B9 q) a7 s- o, a/ Q; y+ i; B
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return), ]1 E+ z9 j/ ^6 y/ _/ b
.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap
5 H, G$ z' T+ J* z/ x.text:10024C200 B0 @4 ^4 _* ?1 g/ N/ b) V
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch5 Y% {4 E4 Y) }7 q3 F
.text:10024C20 var_31          = byte ptr -31h4 n7 p5 d" T& x: {$ Z5 P* M4 A) v
.text:10024C20 var_30          = dword ptr -30h* \% i2 D: j; x7 i. v; l/ ]
.text:10024C20 some_var        = dword ptr -2Ch
2 C6 q) d: V' u$ g' t: E( U.text:10024C20 var_28          = dword ptr -28h
# }1 s3 F" T5 a.text:10024C20 var_24          = byte ptr -24h( d' @) ?3 W/ ?7 L) F
.text:10024C20 var_5           = byte ptr -5
0 q  T  c$ {8 c6 S( X.text:10024C20 var_4           = dword ptr -4' p7 U; _, t; ?  d+ N
.text:10024C20 ioctl           = dword ptr  8" @+ W1 g5 _1 s- O8 c
.text:10024C20 inbuff          = dword ptr  0Ch
# b) G2 t9 X% t. y.text:10024C20 inbuff_size     = dword ptr  10h5 |+ t$ n& G# Z1 |5 f; f/ B' A
.text:10024C20 outbuff_size    = dword ptr  14h  p; i5 P8 v& E# [4 R# E0 M
.text:10024C20 bytes_to_return = dword ptr  18h
+ {" d/ `" `$ E2 I+ z.text:10024C20
* v0 f0 V& v0 y1 w6 d3 t- t.text:10024C20                 push    ebp
0 k5 w" l0 v0 e! M1 r# v.text:10024C21                 mov     ebp, esp
/ U0 c- h8 Y9 s( P+ B.text:10024C23                 sub     esp, 3Ch9 p6 n+ Z+ X: [  H' H
.text:10024C26                 mov     eax, BugCheckParameter26 G$ d: M4 i/ {$ r4 |
.text:10024C2B                 xor     eax, ebp8 [! _( |" o# T1 f. Z9 y
.text:10024C2D                 mov     [ebp+var_4], eax* p! N  A( O" P- r  z
.text:10024C30                 mov     eax, [ebp+ioctl]9 I+ o: L' S' {
.text:10024C33                 push    ebx
' i+ @" K4 w' T# Y8 X.text:10024C34                 mov     ebx, [ebp+inbuff]. G" q! k* N8 V5 Z3 v
.text:10024C37                 push    esi4 d. @' C* ?5 T# p
.text:10024C38                 mov     esi, [ebp+bytes_to_return]- g. z3 y. b8 _8 x1 ^/ L
.text:10024C3B                 add     eax, 7FFDDFD8h* ?2 F5 b& `8 m; m* [6 \
.text:10024C40                 push    edi2 S  m7 `  ~3 Y
.text:10024C41                 mov     edi, ecx
3 D' V1 e4 l; o' m. g, k6 o.text:10024C43                 mov     [ebp+some_var], esi
2 f2 V& {- {; @1 V.text:10024C46                 mov     [ebp+var_28], 0: c% v3 J5 o; C  f: s* ~- ^. _
.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases
/ u; E9 \2 G$ H, A.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case
2 p# \2 K2 D* n% {0 l.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]2 S; V2 {. M' a3 L
.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump7 @/ ]% V& n, N
; T) G; S1 t) U: B1 Z0 z; x
[..]$ u! ~  V! @1 O0 E5 C* u7 I

: Y3 v' y9 Q. X, s3 A* Y1 g7 N( u0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
1 w0 O- ^+ ]: G, B$ ?8 c
% d+ l% E6 @1 F2 j  u.text:10024F5A                 lea     ecx, [edi+958h]6 J- [" ?) r3 Y) n4 w! I" u1 U
.text:10024F60                 call    sub_100237B0$ M  L/ V9 A1 M3 O! J2 W, i
.text:10024F65                 mov     [ebp+some_var], eax
1 d" P( i9 n- j% ?! B: w% z.text:10024F68                 test    eax, eax
3 D5 p7 }! l5 K) `( T4 U0 ^* ~.text:10024F6A                 jnz     short loc_10024F7D
% Z: H. h) U/ u( n' O/ Q1 l.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh
& f( |5 w+ I8 O3 F+ f, K) ?% e9 `.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer
+ S6 q' V- ?1 f+ k& {) z" |  H1 l
1 B( r! O" i) @. Onext in IofComplete request will be rep movsd at pointer, that is under attacker's control3 n; w0 U; C) U, J2 @" E/ _

3 x8 m& Q3 C! @Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
5 b, C1 j0 n+ [5 V
. N* h1 ~; x, @! \, _7 nSymantec表示在2月份的补丁包中修复该漏洞。
' ]5 m; A5 X$ G& E' X4 ^5 B+ U1 F+ H8 x. u* O
相关阅读:
0 }( ?( b" T. v- P
5 {- j1 J& H' d2 _: M( T! R赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。) c+ h+ Y+ u9 y" s7 F  g) X
% @2 z# C" D& I: Q5 t+ {
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表