日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。1 U4 S4 r4 _3 j$ F! \
0 o! b6 p' m$ A9 c5 tSymantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
0 A. s6 {0 t$ K- ~% g8 S" h, ?
$ L7 J6 g9 H7 l% T# T* C研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
( `! v/ d. [5 y* P2 {/ T
4 Y$ r4 ?3 ?0 h, `, I
1 \& x% E2 ~( B) p; b' H! j! V2 A, o) m E6 ]1 O8 ]4 y5 m4 U
function at 0x10024C20 is responsible for dispatching ioctl codes:) ^* u+ ~( i+ W& ~9 ^( q( O& n5 D
5 B* z; F% t. J; ?! b. i0 }2 [
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)
- h8 b9 B* w, v8 M* Y$ |.text:10024C20 ioctl_handler_deep proc near ; CODE XREF: sub_10007520+6Ap# J* |9 \6 z5 n5 `1 k& q
.text:10024C201 m" S5 Y* @1 H! A! ~$ u5 v
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch4 N, ^; f: a$ d0 }
.text:10024C20 var_31 = byte ptr -31h8 I" p; O1 h. Z0 X. Z" U
.text:10024C20 var_30 = dword ptr -30h2 h! z) C) B7 i: h2 X7 F
.text:10024C20 some_var = dword ptr -2Ch {8 m4 X3 x4 f y5 e5 A' V
.text:10024C20 var_28 = dword ptr -28h
6 n( W5 q* I5 A+ H.text:10024C20 var_24 = byte ptr -24h4 V( J) I# p% l# R" b7 j
.text:10024C20 var_5 = byte ptr -55 R. ]1 E/ c- Q% S
.text:10024C20 var_4 = dword ptr -46 r1 Q5 O+ e7 u
.text:10024C20 ioctl = dword ptr 8* T( g6 Z1 G3 {8 h. a
.text:10024C20 inbuff = dword ptr 0Ch9 p" Z6 G5 @( @
.text:10024C20 inbuff_size = dword ptr 10h8 y5 B( g0 b0 ^( Z
.text:10024C20 outbuff_size = dword ptr 14h5 i$ D' R6 S# L" s4 }
.text:10024C20 bytes_to_return = dword ptr 18h
) s# m: A: Y& N0 v1 u, d.text:10024C20
: o; t8 k# ], g1 T/ Y! B. S7 c& ].text:10024C20 push ebp& O6 X. [! U$ s9 U
.text:10024C21 mov ebp, esp
" s# K! y7 ^/ i# C* S. X.text:10024C23 sub esp, 3Ch' ^! ]" m5 l" y
.text:10024C26 mov eax, BugCheckParameter2
( @+ W0 u( r/ J# e2 T5 V! k# H.text:10024C2B xor eax, ebp
' F( H3 X+ l( o3 D- I6 e2 @.text:10024C2D mov [ebp+var_4], eax
; d' f) N- F1 f( i$ j% Z# ^.text:10024C30 mov eax, [ebp+ioctl]* n4 V6 q* Z% u" N8 o, R/ K
.text:10024C33 push ebx
+ r( W$ t7 |: K9 h.text:10024C34 mov ebx, [ebp+inbuff]
! |2 ?9 B& U B9 v.text:10024C37 push esi
# L4 q7 m0 e& F. |+ E: B. a.text:10024C38 mov esi, [ebp+bytes_to_return]
% }, T3 _& [/ \# q.text:10024C3B add eax, 7FFDDFD8h
$ q! C. D) p2 z1 L.text:10024C40 push edi
+ {, g6 d. H7 D, S# {.text:10024C41 mov edi, ecx
' _7 [) k" i) c" q. ~.text:10024C43 mov [ebp+some_var], esi
" n7 r. l# w$ j9 h1 V.text:10024C46 mov [ebp+var_28], 0
$ a! d5 V' U! T- ^; m.text:10024C4D cmp eax, 0A4h ; switch 165 cases
" f( T$ U- b4 l" }3 g( j.text:10024C52 ja loc_10025B18 ; jumptable 10024C5F default case( |: @4 U I2 H* \; d$ a4 o; ~
.text:10024C58 movzx eax, ds:byte_10025BF0[eax]/ Z- e4 ?% O/ I: X6 J6 W
.text:10024C5F jmp ds ff_10025B50[eax*4] ; switch jump
2 o6 q J8 Q$ b$ d- J# z/ n/ d9 \% o9 c& {( l2 ?
[..]
8 u) T/ S. O5 W( l4 F2 {6 o% C1 U% j; j
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
5 S& x& I. i) ~9 W* L( Z) }
* A7 w/ x: G, j. p- i) L.text:10024F5A lea ecx, [edi+958h]4 Y, a y: P: k8 T
.text:10024F60 call sub_100237B0# [* P0 X; O5 J4 t3 g) l
.text:10024F65 mov [ebp+some_var], eax
& ?7 a; U$ n9 i.text:10024F68 test eax, eax
5 @2 c$ j7 C7 o.text:10024F6A jnz short loc_10024F7D: T' {0 I1 `" w
.text:10024F6C mov dword ptr [ebx], 0FFFFCFFAh$ W- {; V' n- T/ t7 z, q# S
.text:10024F72 mov dword ptr [esi], 10h <--- bytes to copy to output buffer3 H/ t, i: [, ^( ?: T
3 N$ p% s6 q6 \7 m7 w; K. I
next in IofComplete request will be rep movsd at pointer, that is under attacker's control- \/ g' P3 m/ D, U
5 S- X% p& v8 ~/ [2 t7 J+ M' [
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
9 K( z6 k# i9 Y3 x; C7 G( P. `4 o. J, s, S% u9 A. b+ _
Symantec表示在2月份的补丁包中修复该漏洞。
, N; f9 W/ M* y. d
4 I5 W0 h" V: j3 O2 l相关阅读:
3 j9 J/ B" p, j; ^7 \' _( W& }9 t E& `* e$ V8 {' z6 F
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
4 \( X. ?, i" I& x3 {3 b5 o% C; s8 ]% \2 W* H
|