找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Symantec完整磁盘加密软件爆0day漏洞
返回列表 发新帖
查看: 3139|回复: 0
打印 上一主题 下一主题

Symantec完整磁盘加密软件爆0day漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:11:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。! h( l- ?: ?; Q1 u

0 U0 k' z4 `+ s( [) nSymantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
, y  `' o% E0 `3 q) f0 G; Y" W: }( N; s  w8 ]; k- @
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:# K- y: }) z+ n8 _6 C6 }. B4 Q

+ _, m9 _4 S% O. n& W
; m, p/ Q1 F, a. Q+ G' m( e
0 W" F! q3 O; c9 s, n# {function at 0x10024C20 is responsible for dispatching ioctl codes:
3 }) `2 V9 e$ Q. C: ?( `1 o8 U4 v/ Y7 W* z$ Y
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)
& w! M0 T  @/ Q$ t+ H7 d.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap( B5 U) q; W, v9 G/ c
.text:10024C20
$ n9 v: o- o! s, d& t  p. F.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch
6 ]% _- D7 U% ~& [0 B. F; L.text:10024C20 var_31          = byte ptr -31h6 n' _$ f+ X. Z: r5 I( j
.text:10024C20 var_30          = dword ptr -30h7 I7 Q- \6 F# U/ }' P. S
.text:10024C20 some_var        = dword ptr -2Ch$ t5 h/ a6 l! m2 b
.text:10024C20 var_28          = dword ptr -28h
2 o# a8 \( T- H' p6 T.text:10024C20 var_24          = byte ptr -24h9 g1 c' D' S( x# R, J  k" L, [
.text:10024C20 var_5           = byte ptr -51 Z3 s) @3 `, L# h
.text:10024C20 var_4           = dword ptr -4
. J9 b2 o& H- O* ~8 }% G.text:10024C20 ioctl           = dword ptr  8
- j# N& ]' u* R9 R. B% t.text:10024C20 inbuff          = dword ptr  0Ch
. `' B3 ?$ q6 {8 i" P  R7 i.text:10024C20 inbuff_size     = dword ptr  10h
! V& z; H. @5 Z9 z% ^, o/ H.text:10024C20 outbuff_size    = dword ptr  14h
& @# S) g3 i/ O.text:10024C20 bytes_to_return = dword ptr  18h
* K# l6 h* n" _, P7 p- Z0 \# r.text:10024C20
7 P# ^  f: Y2 }2 G" Q.text:10024C20                 push    ebp
9 w9 _4 I( c% D. a. I.text:10024C21                 mov     ebp, esp6 L. E7 y& f! }% y) J2 }
.text:10024C23                 sub     esp, 3Ch, m/ D6 U% ~6 B# e6 |# G
.text:10024C26                 mov     eax, BugCheckParameter2
3 m& f* C$ p5 g* @- N# \.text:10024C2B                 xor     eax, ebp
7 Z5 M( H( e* o8 x3 h) {.text:10024C2D                 mov     [ebp+var_4], eax
/ Z. H: F, v# a  n. y.text:10024C30                 mov     eax, [ebp+ioctl]5 E6 Q& p- `0 `; j# Y
.text:10024C33                 push    ebx, P0 e& @7 ?) h- ?( T# |
.text:10024C34                 mov     ebx, [ebp+inbuff]; X2 F( c" e3 v! c8 b$ A6 L8 c- Z
.text:10024C37                 push    esi& `9 x" D- a: ]
.text:10024C38                 mov     esi, [ebp+bytes_to_return]
& G$ L. |5 `, b2 B) i.text:10024C3B                 add     eax, 7FFDDFD8h
# c  H) S& Y- Q! v.text:10024C40                 push    edi$ l3 [3 F/ k* u
.text:10024C41                 mov     edi, ecx* ]0 ~8 i0 _1 z( O$ r, C
.text:10024C43                 mov     [ebp+some_var], esi5 B& o3 c1 @1 V) k0 f; x8 S
.text:10024C46                 mov     [ebp+var_28], 0
8 t: X% n2 G% Y5 k3 Q9 O.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases, f! C  Y" Y1 W) |( c* i. k+ c1 V
.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case$ h$ P- X/ N0 \; R) y
.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]
3 a# |! i( \- D/ n4 x4 @7 [.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump7 s0 m  n7 f$ P( ^9 S1 `. b/ L

2 ~+ e- E7 n+ H: t1 n[..]
# ^: H5 n, h4 H. c: P8 Z  o6 t+ o: R: `
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
! ~, o/ X" [; E% E2 J7 U" ^5 `+ \6 b
.text:10024F5A                 lea     ecx, [edi+958h]' c6 M1 f" f  i% ^( {$ }( U7 l
.text:10024F60                 call    sub_100237B0
- Y- `1 |% |5 N6 {.text:10024F65                 mov     [ebp+some_var], eax
2 E6 D' ~( B/ i.text:10024F68                 test    eax, eax
& \$ w& S6 J6 `2 P' M7 c.text:10024F6A                 jnz     short loc_10024F7D
, v/ u! n; J* s  o.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh7 A& s" j8 B! F1 t3 _' V
.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer% f8 }" x; h  c8 M, `

7 B( @' w7 C: L* [next in IofComplete request will be rep movsd at pointer, that is under attacker's control$ Q) b, B- R- k
$ w5 Y8 L- c% W2 I
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
8 E- h# e7 g, P8 Z' Y4 T8 I- J
) Q' U4 a9 S! R1 M8 ^0 r. I# T" cSymantec表示在2月份的补丁包中修复该漏洞。
2 b2 D+ f4 h/ k) N3 W" b; L- J% p* L' O, E* B: ^
相关阅读:
/ C" i# l, ]. o$ R" l% _& J# O# m6 x
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
! ?% b5 X! g) U  d' B" V
0 o# M  O$ J5 ~  n" c4 O
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表