找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Symantec完整磁盘加密软件爆0day漏洞
返回列表 发新帖
查看: 2881|回复: 0
打印 上一主题 下一主题

Symantec完整磁盘加密软件爆0day漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:11:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。
9 m; ?! f( L' r# ?& e! A
' E6 p, L) e# s. u, T4 B! s% S% @Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。9 P7 a# B  X5 G( e5 o8 J8 W

! t5 k2 o6 w4 }5 O; e& x- @研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
1 x$ P, x% t# [
/ ^3 U  K) y2 E( ^/ F 8 w" F3 H1 }8 f" e+ x

. o; W9 N, i$ d6 E- k( j1 Nfunction at 0x10024C20 is responsible for dispatching ioctl codes:( k; G9 c; p7 J6 g9 |2 k, W/ G) |

6 X% q' \2 ^$ @$ ].text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)
! r" R" R' J  m% K3 q.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap
% N$ r+ f$ ?; B% p  d1 Q) S- C.text:10024C20! n, ]1 L# {, t* [
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch3 c& A* X9 q: o2 q8 G, L) }& o
.text:10024C20 var_31          = byte ptr -31h
$ e2 g+ |' X2 u1 I/ k9 n) K! l% C4 x.text:10024C20 var_30          = dword ptr -30h, {1 ]! }2 U' ~* q% m6 y, w  j
.text:10024C20 some_var        = dword ptr -2Ch
" t1 D) n: ~" L6 I0 V* }  v  q0 T.text:10024C20 var_28          = dword ptr -28h
2 u9 Y4 |" P0 c7 Y# v+ m.text:10024C20 var_24          = byte ptr -24h7 @' s5 Y. Q2 K" d, E3 L
.text:10024C20 var_5           = byte ptr -5
, o, v, n: U  K0 L3 e- o' A' o.text:10024C20 var_4           = dword ptr -4  v8 [$ {! k# s' B0 i, T- t$ l; Z
.text:10024C20 ioctl           = dword ptr  8; @7 j5 g2 C% B' ^; G
.text:10024C20 inbuff          = dword ptr  0Ch% v+ E2 s* P  p5 l
.text:10024C20 inbuff_size     = dword ptr  10h1 k' m5 W% j3 o7 R3 g; I3 I
.text:10024C20 outbuff_size    = dword ptr  14h. k( y. `( ]7 K9 X
.text:10024C20 bytes_to_return = dword ptr  18h
0 z, W* P+ Y( a.text:10024C205 V9 w' n% t1 j1 [
.text:10024C20                 push    ebp
. ?6 D! B* G7 X+ i.text:10024C21                 mov     ebp, esp7 T+ J; g; w3 G. S' P% G! V
.text:10024C23                 sub     esp, 3Ch
% N: F( D7 a% u, x; i. s( g2 U.text:10024C26                 mov     eax, BugCheckParameter2
+ }( E& ~+ A4 _0 T.text:10024C2B                 xor     eax, ebp, h) ^- s- K, ^' b
.text:10024C2D                 mov     [ebp+var_4], eax. ]- x( h% Y2 X  _" P
.text:10024C30                 mov     eax, [ebp+ioctl]# v( k/ }$ u8 y9 ]1 Z& e% A
.text:10024C33                 push    ebx9 @( S, n# n# o4 H
.text:10024C34                 mov     ebx, [ebp+inbuff]6 A! @9 O+ p2 H* S8 h; ~* D, P
.text:10024C37                 push    esi
% Y" e, r! H$ B$ m.text:10024C38                 mov     esi, [ebp+bytes_to_return]
* W. l! o- x* ^* d# b.text:10024C3B                 add     eax, 7FFDDFD8h3 F6 B& b, h9 R/ |/ m
.text:10024C40                 push    edi0 ]' ^$ O/ P1 }4 K$ q
.text:10024C41                 mov     edi, ecx
/ Z8 d* g3 i) n7 N) R+ D.text:10024C43                 mov     [ebp+some_var], esi
1 J) i( r; u0 s1 s/ y1 A$ r  L.text:10024C46                 mov     [ebp+var_28], 0# K; s) X. t( H2 `6 F
.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases
, {5 d8 q, j3 |# L0 b2 C" d" a.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case
+ S7 O! }6 b; z5 _) U.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]
7 a) X% I6 S2 L  b! ~5 m.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump1 n; y& K* h5 t, H. \4 c
9 d& d; l# K7 k7 Y4 v8 [
[..]) G) L# E2 f7 M2 a

' y6 n4 i" d1 M' w( l5 [0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
' D+ B1 k% `# `
0 o5 }6 E9 |- X3 w.text:10024F5A                 lea     ecx, [edi+958h]
8 B& S! s) u! y% q+ V# e.text:10024F60                 call    sub_100237B0: Q( K5 w! B: d: \; t5 @
.text:10024F65                 mov     [ebp+some_var], eax
# o/ V8 T' r+ w% K+ H: [( g8 u.text:10024F68                 test    eax, eax
: K* s- u( X9 V1 Y- h7 N.text:10024F6A                 jnz     short loc_10024F7D
. O% |8 [; s8 l! R" _.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh1 f" x: m2 \0 x% ^9 {; X
.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer& r7 C2 D4 [% n2 J. ?
8 u1 c, X5 E4 a
next in IofComplete request will be rep movsd at pointer, that is under attacker's control5 m) ^; {9 S! H' Y9 e
7 d) S9 s! W. R  [: d# X$ f
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0. ' {1 E6 ^5 |! U1 X  ?

' h- ~6 S4 K' j4 O! [Symantec表示在2月份的补丁包中修复该漏洞。
" H) r. X0 c% E" O" _) J' k, Z& I! O; n& G# Y' t9 r
相关阅读:
, N: c; K% h  v( v- h6 ?
+ k( r  C1 l5 [; [0 Q2 E赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
+ J- @  X; Z; S! M8 _3 F: T% U
/ S' T2 v( X, D6 s0 f& Z4 {5 ?& _
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表