日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。2 Y$ G& A! H4 h& ?7 q' C
# W4 m O Z2 E0 u! I4 l# N
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
( b4 ^' |' g9 w2 \) ^) Y* ~' F/ j: H Q% s$ p$ a0 ?/ K- f
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下: r' Q: O( B8 Y9 B+ I
( `9 }! _/ t' D3 B+ T
! b6 f) r0 ~3 z' }! s" g/ t
7 R: w Y7 n' Z$ m- T+ H7 g# ^: {
function at 0x10024C20 is responsible for dispatching ioctl codes:: V- H( u" B1 X6 ?/ [; C
) M0 U) y* Q+ }$ g
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)8 t: H" q4 u) M m* |7 ^
.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6A�p& h+ \, r6 v8 V- g9 Z/ B' X' j
.text:10024C20
$ S) C% f' ~4 Q' @: E.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch) m5 s% U/ W- P" ]8 d
.text:10024C20 var_31 = byte ptr -31h: `# E! _- t6 m! m- i
.text:10024C20 var_30 = dword ptr -30h6 S9 g; g: v8 K: e
.text:10024C20 some_var = dword ptr -2Ch
* _# N7 x. o4 t% D, }7 a.text:10024C20 var_28 = dword ptr -28h% _0 t+ S; P9 m, A5 z
.text:10024C20 var_24 = byte ptr -24h5 n4 t0 V" F3 o: _7 W4 Q
.text:10024C20 var_5 = byte ptr -5
: E4 Z: U* H+ h+ M+ [3 ~.text:10024C20 var_4 = dword ptr -4
- t4 z) v; I) {.text:10024C20 ioctl = dword ptr 84 l: E" w2 a. X7 g1 G$ z
.text:10024C20 inbuff = dword ptr 0Ch- d" g* K7 {' r
.text:10024C20 inbuff_size = dword ptr 10h T9 S* p3 I$ d/ p+ j
.text:10024C20 outbuff_size = dword ptr 14h
) i1 {4 M$ {- c8 \+ O; ~1 f$ y.text:10024C20 bytes_to_return = dword ptr 18h, N! h" H$ I0 [. L. r& g
.text:10024C20. X3 D) E1 p+ L) p
.text:10024C20 push ebp* C- B' s) @* F" G4 |1 j; ]
.text:10024C21 mov ebp, esp
* W {- }) c) W/ ]! ?" N; A% w.text:10024C23 sub esp, 3Ch. [7 e+ B+ W6 T1 m! b z+ U
.text:10024C26 mov eax, BugCheckParameter2
* K7 B7 [4 q1 F, V.text:10024C2B xor eax, ebp" o# g: S! a( }2 `, }, [& @
.text:10024C2D mov [ebp+var_4], eax
; y3 y6 e) m0 k6 \3 X, o.text:10024C30 mov eax, [ebp+ioctl]) K9 D: q! | \* l# i
.text:10024C33 push ebx
3 u/ \# T; Q0 e p& d- Z, D.text:10024C34 mov ebx, [ebp+inbuff] w; F/ v0 g: ?5 D8 a
.text:10024C37 push esi
; H0 t1 v& d6 X- B. g' L.text:10024C38 mov esi, [ebp+bytes_to_return]
, P4 F' F0 T$ S4 H9 N3 a9 I.text:10024C3B add eax, 7FFDDFD8h! I/ s6 G5 j2 s& B3 a: R
.text:10024C40 push edi& u: h9 s2 _. S X' D: W( C
.text:10024C41 mov edi, ecx
+ q* d4 ^5 v: b' m D! D' M.text:10024C43 mov [ebp+some_var], esi
- ^) E+ w% Q; Z" _5 @.text:10024C46 mov [ebp+var_28], 0
# d" w% ~5 b& g" t- N4 T0 V.text:10024C4D cmp eax, 0A4h ; switch 165 cases& E/ D8 p1 R9 m% Z- L9 p
.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case
( x X D- J& \6 a/ d.text:10024C58 movzx eax, ds:byte_10025BF0[eax]
6 }$ x0 o. m! P3 @.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump; m7 m+ Q: A8 d
( t8 l+ h/ z- \: A% P3 y
[..]# b3 S7 a6 l' O; [$ c. B0 R
6 Y* o2 ~2 _5 m$ z
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
1 V" B5 r" ~4 H9 o$ G. `! e$ s9 {! J" q- T/ R3 Q( f) y# ^
.text:10024F5A lea ecx, [edi+958h]
4 i$ e8 o( G R \2 K$ S" i.text:10024F60 call sub_100237B0
4 w4 S- l) g0 s9 h2 \: U% R.text:10024F65 mov [ebp+some_var], eax( {% I! B7 [ Q# N8 E( W
.text:10024F68 test eax, eax
7 }' ]2 {+ {% c m.text:10024F6A jnz short loc_10024F7D8 j) J! I( {$ d: G
.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh& u6 p% {% B' E! s2 N
.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer
0 y) K0 Z9 h2 w8 s; E! I7 z9 | \
8 |3 l* X/ x2 d$ o; gnext in IofComplete request will be rep movsd at pointer, that is under attacker's control) w! x6 V9 c# v% n0 i) a
) _7 W) Q: l$ X5 D7 fDue the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
' u: m3 Z: c8 f6 M
; p$ ]2 q( N- u2 \Symantec表示在2月份的补丁包中修复该漏洞。* \* b& U1 m4 T" t6 _7 o0 I9 r5 g
8 \# v" H# J) p3 A* a
相关阅读:9 C0 a# a3 B- x8 N" a* C8 {, X
$ S: N1 V; u8 l! G. ]赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
4 w E$ q* e) w# F1 \6 b0 D5 p, ^
6 j% f! m* ~- B7 P8 o. d2 J" g |
发表于 2013-1-11 21:11:47
收藏
支持
反对