信息來源:FreeBuf
近日,Nettitude安全人員在Avast Virtualization內核模式驅動(aswSnx.sys)中發(fā)現一個安全漏洞,使用普通賬戶登錄的本地攻擊者可利用該漏洞提升權限,以系統(tǒng)權限執(zhí)行任意代碼,進而完全控制受影響主機。
AvastVirtualization(aswSnx.sys)驅動用于處理所有Avast Windows產品的“Sandbox”和“DeepScreen”功能。
受影響產品及版本
Avast InternetSecurity v11.1.2245
Avast ProAntivirus v11.1.2245
Avast Premierv11.1.2245
Avast FreeAntivirus v11.1.2245
上述產品中的早期版本也可能受到影響。
技術細節(jié)
AvastVirtualization內核模式驅動(aswSnx.sys)沒有驗證用戶空間的IOCTL請求中的Unicode文件絕對路徑的長度,而該路徑長度會被復制到固定大小的分頁池內存中,攻擊者可以借助特制的代碼導致內核分頁池分配的數據塊溢出,并損壞其相鄰的攻擊者控制的內核對象,如圖一。
圖一 攻擊者控制的內核對象
圖二顯示了aswSnx.sys驅動對nt!memmove函數的調用,但是這一過程沒有驗證數據是否按可用大小被復制到分頁池的數據塊中。這些信息取自10.x版本,同樣適用于11.x版本。
圖二 漏洞原因
堆緩沖區(qū)溢出的利用
在處理基于緩沖區(qū)的動態(tài)內存分配,也就是基于堆的緩沖區(qū)溢出時,首先需要預測緩沖區(qū)溢出發(fā)生的位置,以便于控制該漏洞的執(zhí)行。這在處理內核地址空間的代碼運行時是十分重要的,因為如果利用失敗,系統(tǒng)可能會出現故障。損壞一個不可控制的隨機內核對象實在不是一個明智的選擇。
為了達到這個目的,面臨的另一個挑戰(zhàn)就是,根據數據塊的大小創(chuàng)建一個合理的動態(tài)內存分配布局,用于溢出的產生。如果已知數據塊的大小,那么我們就可以沒有更多限制的實現這個目的。然而,當我們處理固定掉的數據塊(在該實例中為0×418字節(jié)),很難找到一個合適大小的對象導致堆溢出。想要克服該問題的人可以參考此處。
溢出內核分頁池
私有命名空間是創(chuàng)建可控大小的分頁池對象的有效方法。通過創(chuàng)建多個帶有邊界描述符名稱的、特制長度的私有命名空間,我們可以獲得以下內存布局:
圖三 堆溢出#1
因此,在這種情況下,我們并不能控制分頁池數據塊的大小,但是,我們可以控制分頁池對象的大小,如圖三所示,指定一個內存頁(4KB)來顯示分頁池的開始。
也就是說,我們可以創(chuàng)建一個控制內存頁開始的對象,然后就可以擁有一個0x3b8字節(jié)大小的可用空間,和兩個一直到內存頁結束都可以控制的相鄰對象。由于邊界描述符名稱的長度可變,甚至可以使用可控對象占據整個內存頁。
圖四 堆溢出#2
但是,由于可溢出的緩沖區(qū)是固定大?。?×418字節(jié))的,并且可以以內存頁中最后分配的對象為目標,因此我們完全不用考慮page_allocation_base + 0×418中的空間內容。也就是說,我們仍然可以允許內核使用該空間。
通過使用ProcessExplorer,我們可以更清楚地看到堆溢出后的分頁池內存分配情況,如圖五。
圖五 分頁池的內存分配布局
圖六為堆溢出后的內存頁的布局情況。我們利用該漏洞導致了SnxN緩沖區(qū)的溢出,并損壞了相鄰對象。
圖六 堆溢出#3
私有命名空間不僅可以使攻擊者控制分頁池大小,而且可以通過重寫NAMESPACE_DESCRIPTOR結構體的LIST_ENTRY字段中的指針來控制執(zhí)行情況。該字段將NAMESPACE_DESCRIPTOR結構體鏈接到系統(tǒng)中所有可用私有命名空間的列表。
假定我們已經成功損壞了特定私有命名空間的NAMESPACE_DESCRIPTOR結構體的LIST_ENTRY字段。
圖七 不太安全的Unlinking功能(Win 7 SP1)
但是在Windows 8及更高版本中,由于安全的LIST_ENTRY結構體的使用,該方法并不能奏效。
圖八 安全的Unlinking功能(Win 8.1)
圖九為私有命名空間的目錄對象的損壞前后對比。可以看到,NAMESPACE_DESCRIPTOR結構體的LIST_ENTRY字段已經使用用戶空間地址(0×41414141)成功重寫。
圖九 目錄對象的損壞前后對比
控制EIP
成功損壞目錄對象后,接下來就是控制漏洞的執(zhí)行了。使用write-what-where條件重寫HalDispatchTable的函數指針,尤其是存儲在HalDispatchTable+sizeof(ULONG_PTR)這的hal!HaliQuerySystemInformation函數,然后通過調用ntdll!NtQueryIntervalProfile將漏洞執(zhí)行重定向到我們自己的負載。
函數調用序列為ntdll!NtQueryIntervalProfileà nt!NtQueryIntervalProfile à nt!KeQueryIntervalProfileà call [nt!HalDispatchTable+sizeof(ULONG_PTR)](0×41414141)。
目前我們可以做到的是重寫內核地址空間中的任意指針,并通過劫持攻擊控制EIP。但是這是遠遠不夠的。
write-what-where條件在斷開私有命名空間和系統(tǒng)中可用私有命名空間的連接時發(fā)生,也就是我們在關閉處理器或者使用特定私有命名空間中的目錄對象時??梢酝ㄟ^調用ClosePrivateNamespace或CloseHandle來實現該過程。
需要注意的是,為了堆溢出的發(fā)生,分頁池的數據塊頭已經損壞,一旦釋放數據塊頭中的任意對象,都會觸發(fā)SoD,因為內核會對比之前對象的實際大小和釋放的數據大小。
我們可以通過隔離這兩個階段來避開這個問題。我們是通過調用ZwDeletePrivateNameSpace而觸發(fā)的what-where條件,這會導致連接斷開,但是并不是釋放對象內存。我們可以在post-exploitation清理階段重新保存LIST_ENTRY字段。
最后,我們可以安全地修復損壞的目錄對象,和NAMESPACE_DESCRIPTOR結構體,以保證系統(tǒng)不會報錯。
廠商修復
圖十 存在漏洞的函數
圖十一 修復的函數
由圖可以發(fā)現,修復的函數中添加了一個調用子程序的call sub_C161C指令,它的目的是驗證復制到固定大小的內存中的數據大小,如果大小不合適,程序會調用ExAllocatePoolWithTag函數重新分配一個合適的空間,可以安全地保存數據。
*原文地址:nettitude,FB小編vul_wish編譯,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)