找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Symantec完整磁盘加密软件爆0day漏洞
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2314|回复: 0
打印 上一主题 下一主题

Symantec完整磁盘加密软件爆0day漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:11:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。( p: k/ L7 M, C! C8 C& y9 U
( U# E1 B$ s- q) Q# h" L8 N1 i: u4 U( n
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
5 E+ T3 v' h6 _" }6 X) A- _' m! N( `( `' e2 x4 u- B
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:+ o- Q8 g) p# Z" p
+ ?5 S- N0 m+ B6 A
/ ]) t6 H! z% S$ r9 G9 D$ U% Y
/ Z  O" t8 k3 G2 r
function at 0x10024C20 is responsible for dispatching ioctl codes:
3 u5 k2 _3 h! f% U5 S8 v! ?
$ r* O: c& {# b.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)1 ]- A. t9 |* Q1 ^$ P7 F
.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap
" U6 F6 B" o8 O. S7 T( F3 E.text:10024C20
" |+ K! f5 S0 F0 P.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch
9 \" S: G2 Y: S, o: f3 a.text:10024C20 var_31          = byte ptr -31h( S" w* z# N: w# A3 M
.text:10024C20 var_30          = dword ptr -30h% N% x6 ^# N8 {& a9 m
.text:10024C20 some_var        = dword ptr -2Ch/ k. Y. d9 Q4 I' b' u
.text:10024C20 var_28          = dword ptr -28h
' N- {7 [! u( |. b) E- u.text:10024C20 var_24          = byte ptr -24h1 U7 a4 E. ]$ j( p' Y" m
.text:10024C20 var_5           = byte ptr -5
2 B+ K+ `5 Q# h7 r3 g.text:10024C20 var_4           = dword ptr -44 t% O& n. J2 Y) U% M, }  N
.text:10024C20 ioctl           = dword ptr  8$ B: E# z* G; _/ w. J
.text:10024C20 inbuff          = dword ptr  0Ch# O/ h) f! \( ]" k0 o
.text:10024C20 inbuff_size     = dword ptr  10h6 W7 i) M7 }" Y+ u! i
.text:10024C20 outbuff_size    = dword ptr  14h
  D. d- [5 z2 y1 C5 y/ y' z! E.text:10024C20 bytes_to_return = dword ptr  18h. R( a. m' U+ J: g* e
.text:10024C20
9 f9 K- D% D) {.text:10024C20                 push    ebp" c& R' Q2 c! I) b
.text:10024C21                 mov     ebp, esp+ I7 j' r. @+ p% N; U
.text:10024C23                 sub     esp, 3Ch
# b% o! V, A. t7 g+ j+ l.text:10024C26                 mov     eax, BugCheckParameter2
# z: P  X2 h" w  T.text:10024C2B                 xor     eax, ebp5 v/ v, b% T4 {8 U( T" P
.text:10024C2D                 mov     [ebp+var_4], eax
+ I3 v& M# U; `8 n.text:10024C30                 mov     eax, [ebp+ioctl]
$ {# R+ S! h# p. m.text:10024C33                 push    ebx0 x! a0 A( Z: o3 |7 N8 d& ?4 E
.text:10024C34                 mov     ebx, [ebp+inbuff]
! |' k  `' R" {/ ?.text:10024C37                 push    esi
* P7 s* b2 `5 I( S' N.text:10024C38                 mov     esi, [ebp+bytes_to_return]
8 ], ]4 X& v6 F9 N+ S- W.text:10024C3B                 add     eax, 7FFDDFD8h
9 l. |5 V& U0 z% H2 [6 l# C.text:10024C40                 push    edi
3 I- S  |$ B& Y; ^1 G; E.text:10024C41                 mov     edi, ecx
  Y6 e4 p; v0 [.text:10024C43                 mov     [ebp+some_var], esi$ c$ S6 `( w" m. p+ k; t
.text:10024C46                 mov     [ebp+var_28], 0
; F2 K: S3 \0 B+ p, Q0 ?.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases
* S9 R/ h2 v7 u" ~, S.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case
  l" w, A, f9 l' Q& ?- s.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]( c/ B" }3 q8 U* [: o
.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump
8 X( ?# V& Q9 k6 V* a1 L- B3 p8 s( ?; W! r
[..]
! i0 l: X* i: Z% y7 w+ v
" A& {* e) |7 S& V0 e3 H" k5 o0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
" t) n/ }: _" q9 H# `. L3 {. O6 {% q- q4 i, D9 `
.text:10024F5A                 lea     ecx, [edi+958h]
7 U8 Q4 W! q5 w# c.text:10024F60                 call    sub_100237B0
  B2 o4 i2 p, p6 V, r.text:10024F65                 mov     [ebp+some_var], eax6 o2 F* W6 Z/ F( \; c4 d$ q
.text:10024F68                 test    eax, eax1 J" B9 b" C% P: i' k! y
.text:10024F6A                 jnz     short loc_10024F7D
% t; l# O7 R$ ^7 S* u.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh
- d# P6 a; b  M' o# p5 `3 q.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer
# s$ G( t3 b. |: g& F( b
1 P! v% Y# P2 N+ n6 M" y# n7 wnext in IofComplete request will be rep movsd at pointer, that is under attacker's control
' x3 R& ~% J  E- J" q1 I* G8 o; g8 b) K: u; e1 @, I7 I7 N: G" g
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0. / V, N# e* R/ j" s: n$ h+ @

! s0 R! m& l! o/ B7 g$ Y. PSymantec表示在2月份的补丁包中修复该漏洞。6 X$ y+ s# {0 _4 e9 }
, P/ D$ t# J! q- K
相关阅读:* Q5 a- s& |$ n" }. ^

: }- h' G4 k. n& g赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。& S4 N( x6 G$ Y+ [  K, ?! M# @6 n8 ^

, ?% v- A8 e) v8 e: o& u
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表