找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2428|回复: 0
打印 上一主题 下一主题

Symantec完整磁盘加密软件爆0day漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:11:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
日前,国外安全研究组织Nikita Tarakanov称在Symantec PGP Whole Disk Encryption(完整磁盘加密软件)中发现0day漏洞,该软件的内核驱动程序pgpwded.sys包含一个覆盖任意内存的漏洞,可执行任意代码,受影响的软件版本是Symantec PGP Desktop 10.2.0 Build 2599。1 U4 S4 r4 _3 j$ F! \

0 o! b6 p' m$ A9 c5 tSymantec通过博客文章证实该版本软件确实存在安全问题,但是利用起来比较繁琐,并且仅限于运行在Windows XP和Windows 2003的系统,成功利用该漏洞需要有计算机本地访问权限。
0 A. s6 {0 t$ K- ~% g8 S" h, ?
$ L7 J6 g9 H7 l% T# T* C研究员Kelvin Kwan称“该漏洞触发场景非常困难,成功利用必须进入一些错误状态,但是成功利用的话可能允许攻击者执行任意代码,获取更高级别的权限”。该漏洞详细细节如下:
( `! v/ d. [5 y* P2 {/ T
4 Y$ r4 ?3 ?0 h, `, I
1 \& x% E2 ~( B) p; b' H! j! V2 A, o) m  E6 ]1 O8 ]4 y5 m4 U
function at 0x10024C20 is responsible for dispatching ioctl codes:) ^* u+ ~( i+ W& ~9 ^( q( O& n5 D
5 B* z; F% t. J; ?! b. i0 }2 [
.text:10024C20 ; int __thiscall ioctl_handler_deep(int this, int ioctl, PVOID inbuff, unsigned int inbuff_size, unsigned int outbuff_size, PDWORD bytes_to_return)
- h8 b9 B* w, v8 M* Y$ |.text:10024C20 ioctl_handler_deep proc near            ; CODE XREF: sub_10007520+6Ap# J* |9 \6 z5 n5 `1 k& q
.text:10024C201 m" S5 Y* @1 H! A! ~$ u5 v
.text:10024C20 DestinationString= UNICODE_STRING ptr -3Ch4 N, ^; f: a$ d0 }
.text:10024C20 var_31          = byte ptr -31h8 I" p; O1 h. Z0 X. Z" U
.text:10024C20 var_30          = dword ptr -30h2 h! z) C) B7 i: h2 X7 F
.text:10024C20 some_var        = dword ptr -2Ch  {8 m4 X3 x4 f  y5 e5 A' V
.text:10024C20 var_28          = dword ptr -28h
6 n( W5 q* I5 A+ H.text:10024C20 var_24          = byte ptr -24h4 V( J) I# p% l# R" b7 j
.text:10024C20 var_5           = byte ptr -55 R. ]1 E/ c- Q% S
.text:10024C20 var_4           = dword ptr -46 r1 Q5 O+ e7 u
.text:10024C20 ioctl           = dword ptr  8* T( g6 Z1 G3 {8 h. a
.text:10024C20 inbuff          = dword ptr  0Ch9 p" Z6 G5 @( @
.text:10024C20 inbuff_size     = dword ptr  10h8 y5 B( g0 b0 ^( Z
.text:10024C20 outbuff_size    = dword ptr  14h5 i$ D' R6 S# L" s4 }
.text:10024C20 bytes_to_return = dword ptr  18h
) s# m: A: Y& N0 v1 u, d.text:10024C20
: o; t8 k# ], g1 T/ Y! B. S7 c& ].text:10024C20                 push    ebp& O6 X. [! U$ s9 U
.text:10024C21                 mov     ebp, esp
" s# K! y7 ^/ i# C* S. X.text:10024C23                 sub     esp, 3Ch' ^! ]" m5 l" y
.text:10024C26                 mov     eax, BugCheckParameter2
( @+ W0 u( r/ J# e2 T5 V! k# H.text:10024C2B                 xor     eax, ebp
' F( H3 X+ l( o3 D- I6 e2 @.text:10024C2D                 mov     [ebp+var_4], eax
; d' f) N- F1 f( i$ j% Z# ^.text:10024C30                 mov     eax, [ebp+ioctl]* n4 V6 q* Z% u" N8 o, R/ K
.text:10024C33                 push    ebx
+ r( W$ t7 |: K9 h.text:10024C34                 mov     ebx, [ebp+inbuff]
! |2 ?9 B& U  B9 v.text:10024C37                 push    esi
# L4 q7 m0 e& F. |+ E: B. a.text:10024C38                 mov     esi, [ebp+bytes_to_return]
% }, T3 _& [/ \# q.text:10024C3B                 add     eax, 7FFDDFD8h
$ q! C. D) p2 z1 L.text:10024C40                 push    edi
+ {, g6 d. H7 D, S# {.text:10024C41                 mov     edi, ecx
' _7 [) k" i) c" q. ~.text:10024C43                 mov     [ebp+some_var], esi
" n7 r. l# w$ j9 h1 V.text:10024C46                 mov     [ebp+var_28], 0
$ a! d5 V' U! T- ^; m.text:10024C4D                 cmp     eax, 0A4h       ; switch 165 cases
" f( T$ U- b4 l" }3 g( j.text:10024C52                 ja      loc_10025B18    ; jumptable 10024C5F default case( |: @4 U  I2 H* \; d$ a4 o; ~
.text:10024C58                 movzx   eax, ds:byte_10025BF0[eax]/ Z- e4 ?% O/ I: X6 J6 W
.text:10024C5F                 jmp     dsff_10025B50[eax*4] ; switch jump
2 o6 q  J8 Q$ b$ d- J# z/ n/ d9 \% o9 c& {( l2 ?
[..]
8 u) T/ S. O5 W( l4 F2 {6 o% C1 U% j; j
0x80022058 case: no check for outbuff_size == 0! <--- FLAW!
5 S& x& I. i) ~9 W* L( Z) }
* A7 w/ x: G, j. p- i) L.text:10024F5A                 lea     ecx, [edi+958h]4 Y, a  y: P: k8 T
.text:10024F60                 call    sub_100237B0# [* P0 X; O5 J4 t3 g) l
.text:10024F65                 mov     [ebp+some_var], eax
& ?7 a; U$ n9 i.text:10024F68                 test    eax, eax
5 @2 c$ j7 C7 o.text:10024F6A                 jnz     short loc_10024F7D: T' {0 I1 `" w
.text:10024F6C                 mov     dword ptr [ebx], 0FFFFCFFAh$ W- {; V' n- T/ t7 z, q# S
.text:10024F72                 mov     dword ptr [esi], 10h <--- bytes to copy to output buffer3 H/ t, i: [, ^( ?: T
3 N$ p% s6 q6 \7 m7 w; K. I
next in IofComplete request will be rep movsd at pointer, that is under attacker's control- \/ g' P3 m/ D, U
5 S- X% p& v8 ~/ [2 t7 J+ M' [
Due the type of vulnerability (METHO_BUFFERED with output_size == 0) exploit works only on Winows XP/2k3, cause in later Windows OS I/O manager doesn't craft IRP if ioctl is METHOD_BUFFERED and output_size == 0.
9 K( z6 k# i9 Y3 x; C7 G( P. `4 o. J, s, S% u9 A. b+ _
Symantec表示在2月份的补丁包中修复该漏洞。
, N; f9 W/ M* y. d
4 I5 W0 h" V: j3 O2 l相关阅读:
3 j9 J/ B" p, j; ^7 \' _( W& }9 t  E& `* e$ V8 {' z6 F
赛门铁克的 PGP Whole Disk Encryption 为企业提供了全面的高性能完整磁盘加密功能,可对台式机、笔记本电脑和可移动介质上的所有数据(用户文件、交换文件、系统文件、隐藏文件等)进行完整磁盘加密。该完整磁盘加密软件可让数据免遭未经授权的访问,从而为知识产权、客户和合作伙伴数据提供强大的安全防护。受保护的系统可由 PGP Universal Server 集中管理,这就简化了部署、策略创建、分发和报告过程。
4 \( X. ?, i" I& x3 {3 b5 o% C; s8 ]% \2 W* H
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表