日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。' i8 l0 ^; c r# O* L- g2 o
+ x7 v' a( k/ ^1 k! NSymantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。, U; l; e/ b% f4 k" y4 d
" a! \/ i3 x' N% @1 o, h1 f4 K
研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
: _0 w0 |- J3 W" x7 W0 H/ O3 M0 C8 I
: p- e; q0 k$ B2 x: N8 G! C6 ^1 A- k' Y7 W& X) N
function at 0x10024C20 is responsible for dispatching ioctl codes:# E a9 m5 x6 O4 _( @
4 N1 \3 R' w3 j! I# y5 k# P
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)4 j: ?( K* A9 d: g
.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6A�p+ B. i4 E+ W, b: ^* v3 _
.text:10024C209 J3 _& V s& U7 f
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch$ \0 X) t, r( y, G+ F
.text:10024C20 var_31 = byte ptr -31h% j; `$ g+ e. o; v" _( B; r9 H
.text:10024C20 var_30 = dword ptr -30h
0 M' Q: N! q0 e' }1 }.text:10024C20 some_var = dword ptr -2Ch
; h- C' ~1 L! @+ F.text:10024C20 var_28 = dword ptr -28h
( L8 D- t$ u$ J$ D) q% z0 h.text:10024C20 var_24 = byte ptr -24h
' ~5 q' Y# k6 X& c% k4 N.text:10024C20 var_5 = byte ptr -50 Z: Y0 v( Z# K
.text:10024C20 var_4 = dword ptr -4
. f# } D3 O; x9 }" x1 y% y. p.text:10024C20 ioctl = dword ptr 85 x6 J$ {; t+ @9 D
.text:10024C20 inbuff = dword ptr 0Ch
1 P' E6 e* H& U. _.text:10024C20 inbuff_size = dword ptr 10h
* |: j9 q+ W8 e& }% r6 [.text:10024C20 outbuff_size = dword ptr 14h0 d6 n0 I+ M$ c( d3 o
.text:10024C20 bytes_to_return = dword ptr 18h" q: ^) L% P F6 G0 l
.text:10024C20
' D2 o+ l' s8 }1 O.text:10024C20 push ebp, n5 R/ [: n8 w0 ~9 I/ w, }
.text:10024C21 mov ebp, esp/ y( @5 o# d+ ^0 J
.text:10024C23 sub esp, 3Ch
1 F* \) @; N- b( e) c9 g: x r, k+ R.text:10024C26 mov eax, BugCheckParameter2
0 k. n" m$ H% v* d.text:10024C2B xor eax, ebp' B* I; p5 B( s7 K& y. U
.text:10024C2D mov [ebp+var_4], eax
- h; K9 G2 X' h, s O.text:10024C30 mov eax, [ebp+ioctl]
, P) z+ p5 {( E0 E- `8 D# Y: s) A7 n4 {.text:10024C33 push ebx
# c+ j+ Q( h" n# C0 p.text:10024C34 mov ebx, [ebp+inbuff]
2 O; |7 m3 ~, B s0 i1 L Q$ f.text:10024C37 push esi
6 i3 K0 T) ^) A+ Y.text:10024C38 mov esi, [ebp+bytes_to_return]
+ i- I- ~" ^4 t3 j.text:10024C3B add eax, 7FFDDFD8h& |. h8 E" B* q1 k# l G
.text:10024C40 push edi
, d8 S+ D/ r9 ].text:10024C41 mov edi, ecx
! N1 H: X5 c1 W/ T: r/ X! `2 x" b.text:10024C43 mov [ebp+some_var], esi
! i) T2 I+ g; E.text:10024C46 mov [ebp+var_28], 0$ ^& L, F3 r# U: i q9 w8 Y$ Y
.text:10024C4D cmp eax, 0A4h ; switch 165 cases
' l/ \0 m' R% S9 ]4 u- C.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case
& t* U( Q* A& V) J.text:10024C58 movzx eax, ds:byte_10025BF0[eax]0 F: j* u9 S# }/ e
.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump4 o* |# w8 b4 Y( {5 J$ D
- v' ~! P# u3 r0 Z9 D[..]
& K' l3 n# F8 H, ?8 Y" y
3 X/ \. F6 C" v+ o0x80022058 case: no check for outbuff_size == 0! <--- FLAW!' X$ y& y' _; w1 ]
; Q1 ]/ O" N3 [# g.text:10024F5A lea ecx, [edi+958h]
$ k5 p% R' o0 o% N.text:10024F60 call sub_100237B0
0 Q3 t; @; [, U7 [2 i.text:10024F65 mov [ebp+some_var], eax4 V: X; w* Z# G q: \ Q, ]
.text:10024F68 test eax, eax& F ^& ]4 a, B0 z1 t' \
.text:10024F6A jnz short loc_10024F7D
. B" e3 t- C9 F) J.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh
$ V& b$ V+ e o5 ] x" F.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer
9 n1 f0 }. V3 V" @. O/ _' [0 m* u' {. }8 ] w( w8 }4 v
next in IofComplete request will be rep movsd at pointer, that is under attacker's control
9 ~) b3 B! I- K/ }* m) L# L: ^7 j1 G6 A4 h9 g( V- b3 [2 g$ k
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0. ; f2 o5 X% _: S. B! \2 y
8 l. x( p+ @1 H' ?# G+ I& T5 z
Symantec表示在2月份的补丁包中修复该漏洞。* ?! [/ E- p1 R- ~! M6 [3 m# v4 F" C
+ {) V( F( U& k) U9 s+ v
相关阅读:0 @9 n0 y; [9 g- o3 u4 z$ L$ |
+ R& G! L7 a3 i6 X4 o# \
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。2 a* G: {3 I9 I1 X% ^. h2 U
( n1 l( x t3 Y/ `* {5 S3 U8 U1 ?6 _6 ^ |
发表于 2013-1-11 21:11:47
收藏
支持
反对