日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。7 N1 x: ~, v9 ^" R; {% ]( p: }
) t; H: f3 L/ t8 j/ b$ h/ z
Symantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
% {4 b% T g O. K0 _5 Y
3 f/ S$ z3 u/ X4 o; F1 O研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:& Q7 i5 l3 I$ k+ Q5 \- S" B3 r
. k9 n4 w! ]5 L: }* B) |5 L6 z+ z
k) H+ A `3 s3 n/ \
0 q4 _ [$ ^! ~8 |$ Q' W
function at 0x10024C20 is responsible for dispatching ioctl codes:+ l) W- o2 z' P8 D0 N
8 Z+ Z3 R$ A! q/ P( \4 Q; ~
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)
6 t8 H; n- q5 C8 v# ~.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6A�p
/ G5 j( }7 T4 ~% }. \7 p.text:10024C20" M2 U/ K; n; D$ i5 c2 P
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch
7 `! d1 G% G7 F7 a6 ~.text:10024C20 var_31 = byte ptr -31h
* l3 @' K M1 N3 v.text:10024C20 var_30 = dword ptr -30h
. K, _ A$ N; w.text:10024C20 some_var = dword ptr -2Ch
: ?& M6 g% R: g7 @$ q.text:10024C20 var_28 = dword ptr -28h
) `# c. I8 k$ W5 I.text:10024C20 var_24 = byte ptr -24h
2 I, I! u3 x# Y0 M# U.text:10024C20 var_5 = byte ptr -5
" R$ a% U, M/ ?5 \& L.text:10024C20 var_4 = dword ptr -4" g- q/ T$ F) l, z
.text:10024C20 ioctl = dword ptr 8) b6 @1 v6 X& c; [
.text:10024C20 inbuff = dword ptr 0Ch
% g" c1 P% ]4 A& b) ]! v.text:10024C20 inbuff_size = dword ptr 10h: H" J: W. i- L
.text:10024C20 outbuff_size = dword ptr 14h
: D$ l, T: m% I% F9 y& C6 i" I.text:10024C20 bytes_to_return = dword ptr 18h
2 G" w- u5 g3 o.text:10024C20
5 h( A' z& S' T Q* [9 @.text:10024C20 push ebp
* \4 o8 o% t! [9 j.text:10024C21 mov ebp, esp
! C) `% [+ R: a) S0 C" y( k.text:10024C23 sub esp, 3Ch5 s( a9 G: W4 T: e
.text:10024C26 mov eax, BugCheckParameter2
* Q: J$ {. P. |8 E1 }0 [: P. S.text:10024C2B xor eax, ebp6 G# _, p. p* s
.text:10024C2D mov [ebp+var_4], eax" i) R! z# B! T. s1 t4 x" ]3 H
.text:10024C30 mov eax, [ebp+ioctl]$ m' v/ {# f( Z
.text:10024C33 push ebx
/ o2 z8 [# F7 g/ v9 Z2 h.text:10024C34 mov ebx, [ebp+inbuff]! n' A2 J. x, p5 Y, X4 z9 r5 q- f, w
.text:10024C37 push esi( I# d1 K" D5 }9 k' z" k
.text:10024C38 mov esi, [ebp+bytes_to_return]
1 x# O, H0 }! z. i.text:10024C3B add eax, 7FFDDFD8h
2 l. A$ U5 [ N2 [- ?2 ~1 Z.text:10024C40 push edi" K4 [6 P2 w/ @2 ~# h; T
.text:10024C41 mov edi, ecx
7 b9 [' J8 A+ _+ r+ r.text:10024C43 mov [ebp+some_var], esi& u- P9 ^& r8 P% j
.text:10024C46 mov [ebp+var_28], 0
8 X% ]6 m0 m2 P0 w, E. H.text:10024C4D cmp eax, 0A4h ; switch 165 cases2 s' F2 |* e* t% {4 O
.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case
2 m* c* f: m9 z/ g- V! P7 J.text:10024C58 movzx eax, ds:byte_10025BF0[eax]
3 y. w* T& y: P' }7 ]/ V.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump
+ f9 e( c& }" B( r8 V, u6 Q4 B
3 Q& S" d: e6 P* p[..]
7 k% u; x0 a+ L7 x0 A+ N4 B4 u
% ]8 u! U ]# Y- W; H0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
3 p' N1 ^- H) Z6 x9 V' P3 R/ |
" q; F- Q! L7 Z1 L, a8 S.text:10024F5A lea ecx, [edi+958h]
' L1 \# N, g) {( U.text:10024F60 call sub_100237B05 k3 r' w$ Z; K" O& \; y9 u4 J
.text:10024F65 mov [ebp+some_var], eax' J7 ~, K V/ w, W7 h+ b& ~0 L3 T
.text:10024F68 test eax, eax
C* x! ` g. U8 Y.text:10024F6A jnz short loc_10024F7D1 V) x! z* J9 X7 b1 X& r8 b3 C
.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh* K, h4 h6 W- i& K( Y
.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer
+ e% b& G( v( G" U) [7 c8 t- ?- @/ i5 ~/ @+ |4 a6 U" |
next in IofComplete request will be rep movsd at pointer, that is under attacker's control2 ^% H) d. X g: ]; J! L0 w7 a3 k6 O
% p2 i# e2 c/ A* ^/ ]Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0. & i" t5 M1 Q: c# {/ `9 u+ C
" S* [ ~9 P; S2 k3 a
Symantec表示在2月份的补丁包中修复该漏洞。 {0 h& g) E& n8 S( g/ i
+ H3 j+ l1 v2 `2 p+ ~7 L% c
相关阅读:' S7 U* j" G: e. B" R
# P0 E1 [* K, Q' {( F9 D. P赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
, h8 p5 O0 p) M# o2 K- l. f9 J$ R0 P
% z+ R% j4 u1 q5 w) r! R5 N |
发表于 2013-1-11 21:11:47
收藏
支持
反对