找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Symantec完整磁盘加密软件爆0day漏洞
返回列表 发新帖
查看: 2728|回复: 0
打印 上一主题 下一主题

Symantec完整磁盘加密软件爆0day漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:11:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。
" u4 [1 A' }+ |( |" o6 X1 s7 Z. d) f/ P) A! }7 Y1 h; _
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。* x$ J  q4 P1 d# [' y7 o& ]$ N

* J5 s- H+ x9 p3 b研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:* {% {4 V! b6 d+ ~5 Z$ }# M

- j  [- ~& L& S9 X5 h* k
% n( W5 w+ D; M2 a
- J. Z! G( C" d6 `' S+ ]- p( Nfunction at 0x10024C20 is responsible for dispatching ioctl codes:
  o5 p: S" S9 x$ V0 K7 Y7 F* V+ x8 H7 U5 x
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)9 [1 v- r% G# L/ i; V4 ?
.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap
5 ?  C% B! P8 W+ ~+ r.text:10024C20
$ t% ~$ v) v0 q1 I.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch$ A; n$ H" F, J( M" ?4 F
.text:10024C20 var_31          = byte ptr -31h- K, N; [) F6 V( w5 ]
.text:10024C20 var_30          = dword ptr -30h: o7 i) A7 y1 j# a# N  i; ~
.text:10024C20 some_var        = dword ptr -2Ch
3 ^) d) F6 a! K. P6 W.text:10024C20 var_28          = dword ptr -28h  w  R5 j, Y- c+ \- w
.text:10024C20 var_24          = byte ptr -24h. z& w. a2 _5 B1 Q: O, D9 [
.text:10024C20 var_5           = byte ptr -5
/ A: b9 p: Z/ U6 [.text:10024C20 var_4           = dword ptr -44 l! \: o  Q: X
.text:10024C20 ioctl           = dword ptr  8
' f: x% K: R: Y.text:10024C20 inbuff          = dword ptr  0Ch
6 V% z6 U9 X$ M9 d0 Y2 m.text:10024C20 inbuff_size     = dword ptr  10h
8 c2 ?. l8 w0 S.text:10024C20 outbuff_size    = dword ptr  14h
4 |8 e2 I8 d, L! x) Y' U.text:10024C20 bytes_to_return = dword ptr  18h/ F4 C- f5 V+ O, x6 O! h* o) g
.text:10024C20! c/ Q' P. @  {) t
.text:10024C20                 push    ebp. s7 c& D3 C, a6 {' Q0 G" u" b
.text:10024C21                 mov     ebp, esp! J- M8 V! W# b1 `
.text:10024C23                 sub     esp, 3Ch/ Q2 X7 r* t( v) q
.text:10024C26                 mov     eax, BugCheckParameter2
9 S$ |: G5 Q5 t5 B! S- F0 a.text:10024C2B                 xor     eax, ebp' R1 z4 {# G3 T% m" r
.text:10024C2D                 mov     [ebp+var_4], eax2 S4 H0 v1 @6 @2 ^( z% i# Z5 S
.text:10024C30                 mov     eax, [ebp+ioctl]! Z) D; T  u# k3 q; ~* J
.text:10024C33                 push    ebx& b5 j0 @2 L* C& q$ X2 P
.text:10024C34                 mov     ebx, [ebp+inbuff]# r: F  y8 N( |4 x; ^7 ?3 d
.text:10024C37                 push    esi
5 y/ W$ z# A) T9 k+ }! L; `6 p.text:10024C38                 mov     esi, [ebp+bytes_to_return]
5 w  b/ u( w, \, l/ P( Q.text:10024C3B                 add     eax, 7FFDDFD8h
  S% }8 _' Z+ s1 w.text:10024C40                 push    edi
; J. z7 q( A1 g1 m.text:10024C41                 mov     edi, ecx% ^2 @  M9 v3 m: q# T! X+ a. C
.text:10024C43                 mov     [ebp+some_var], esi# ~- D7 E$ W; C. n" \7 U$ z
.text:10024C46                 mov     [ebp+var_28], 0
% N- C, `# j8 g( Y4 s7 s  h.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases, J. s. x- Z7 ~/ p) o" S, n+ w
.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case
$ Q6 i' ~' {5 I6 T.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]/ Y0 \2 @* D# j( I, ~' u! C, O
.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump7 B1 a! _, d% G+ P
6 T3 Z5 O# J% v9 C, {: d
[..]
" v8 E, g" a- |& }/ r: W# v6 N  K3 I. y  [" R0 E; A/ ^8 a
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!' u, P- m% T3 r$ L7 C+ P

$ S- o) |' `0 c9 B.text:10024F5A                 lea     ecx, [edi+958h]
+ @8 b- b% [& c* Z.text:10024F60                 call    sub_100237B0
( V; p: U  w# j+ l! Q! i.text:10024F65                 mov     [ebp+some_var], eax
  S1 V( q6 z) w% s; X) R2 ~7 F' ].text:10024F68                 test    eax, eax( z; M  `5 J* D
.text:10024F6A                 jnz     short loc_10024F7D( z% @  O. o' W
.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh  A" m$ ]- F2 c5 {
.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer) \3 S9 v! h1 w7 K
7 a9 t8 W$ L6 q( T: ~- U2 E
next in IofComplete request will be rep movsd at pointer, that is under attacker's control2 B/ V7 x1 a$ V3 y( X

( o  j: V- S5 ~, ^: p# RDue the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0. , t4 g( L3 d/ D- ~

5 y- n9 L- e) A& _Symantec表示在2月份的补丁包中修复该漏洞。( p8 A0 A' @7 \5 j' a8 Z! H6 o
! a* v2 M2 C. ?; v" e
相关阅读:  Q. V  `6 e$ i9 Y

4 |1 r" j  N) V& V  u+ Y7 `- X赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。0 R8 ]5 I7 k6 a- _2 ]

' C- E8 u0 j, U1 y0 ^: f
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表