转载

赛门铁克/诺顿反病毒引擎远程Heap/Pool内存损坏漏洞分析(CVE-2016-2208)

赛门铁克/诺顿反病毒引擎远程Heap/Pool内存损坏漏洞分析(CVE-2016-2208)

近日,Symantec和Norton产品中使用的核心杀毒引擎被曝存在高危漏洞。它在解析用aspack早期版本打包的可执行文件时会发生缓冲溢出,导致内存损坏,Windows系统蓝屏。其CVE编号为CVE-2016-2208,CNNVD编号为CNNVD-201605-423。

漏洞详情

当程序解析使用aspack早期版本打包的可执行文件时,会触发缓冲区溢出漏洞。该漏洞发生在部分数据截断时,也就是SizeOfRawData值大于SizeOfImage值时。

这是一个远程代码执行漏洞,由于Symantec使用使用过滤器驱动程序来截取所有系统I/O,因此只需要通过邮件向受害者发送文件或链接就可以利用该漏洞。

在inux、Mac和UNIX平台上,攻击者可利用该漏洞以root权限在Symantec或Norton进程中导致远程堆溢出。在Windows平台上则会导致内核内存损坏,而由于扫描引擎被加载到内核中,使得该漏洞成为一个ring0内存损坏漏洞。

该漏洞的利用方式是通过邮件或浏览器。文章后附加的测试实例中包含创建POC的源代码,可以对安装Norton Antivirus的系统进行错误检查,或使Symantec Enterprise Endpoint服务崩溃。

testcase.txt 文件是一个预先建立的二进制文件,只需要点击下载就可以触发受影响系统的内核崩溃!!!

当该文件下载到磁盘中时,Symantec会分配SizeOfImage字节的空间,并将可用数据从截断部分复制到缓冲区,导致堆或缓冲池损坏。实际上,Symantec会执行下列序列:

char *buf = malloc(SizeOfImage);

memcpy(&buf[DataSection->VirtualAddress],

DataSection->PointerToRawData,

SectionSizeOnDisk);

以上的所有值和数据都是被攻击者控制的,因此会导致彻底的溢出。由于该漏洞存在于核心的扫描引擎中,Symantec的大部分产品都受到影响:

* Symantec Endpoint Antivirus ( 所有平台)

* Norton Antivirus ( 所有平台)

* Symantec Scan Engine ( 所有平台)

* Symantec Email Security ( 所有平台)

* 以及所有其他的Symantec反病毒产品

在基于Windows的Symantec终端杀毒软件中,该漏洞运行在ccSvcHost.exe进程中以NT AUTHORITY/SYSTEM权限执行代码。在基于Windows的Norton杀毒软件中,该代码会被加载到内核中,导致内核池损坏。

使用windbg进行故障检测分析

使用!analyze –v命令进行获取详细的检测信息: 

1: kd> !analyze -v

输出结果为:

PAGE_FAULT_IN_NONPAGED_AREA (50)

// 错误检测代码

Invalid system memory was referenced.  This cannot be protected by try-except,itmust be protected by a Probe.  Typicallythe address is just plain bad or it s pointing at freed memory.

// 错误原因:无效的内存被引用

Arguments:

Arg1: 9e45c000, memory referenced.

Arg2: 00000001, value 0 = read operation, 1 = write operation.

Arg3: 82a81ff3, If non-zero, the instruction address whichreferenced the bad memory

address.

Arg4: 00000000, (reserved)

// 显示的参数

Debugging Details (检测详情):

WRITE_ADDRESS:  9e45c000Paged pool

// 对应Arg1

FAULTING_IP:

nt!memcpy+33

82a81ff3 f3a5           rep movs dword ptr es:[edi],dword ptr [esi]

// 发生错误时所执行的指令

MM_INTERNAL_CODE:  0

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

// 错误类型,驱动错误

BUGCHECK_STR:  0x50

PROCESS_NAME:  NS.exe

// 错误所属进程

CURRENT_IRQL:  2

// 对应Arg2

ANALYSIS_VERSION: 6.3.9600.17336 (debuggers(dbg).150226-1500)x86fre

TRAP_FRAME:  9abd2094 --(.trap 0xffffffff9abd2094)

ErrCode = 00000002

eax=b0849800 ebx=00010000 ecx=00001201 edx=00000000 esi=b0844ffcedi=9e45c000

eip=82a81ff3 esp=9abd2108 ebp=9abd2110 iopl=0         nv up ei pl nz ac po nc

cs=0008  ss=0010  ds=0023 es=0023  fs=0030  gs=0000             efl=00010212

nt!memcpy+0x33:

82a81ff3 f3a5           rep movs dword ptr es:[edi],dword ptr [esi]

Resetting default scope

LAST_CONTROL_TRANSFER: from 82b28ce7 to 82ac4308

// 错误时各寄存器的内容

使用.trap命令查看trap frame:

1: kd> .trap 0xffffffff9abd2094

ErrCode = 00000002

eax=b0849800 ebx=00010000 ecx=00001201 edx=00000000 esi=b0844ffcedi=9e45c000

eip=82a81ff3 esp=9abd2108 ebp=9abd2110 iopl=0         nv up ei pl nz ac po nc

cs=0008  ss=0010  ds=0023 es=0023  fs=0030  gs=0000             efl=00010212

nt!memcpy+0x33:

82a81ff3 f3a5           rep movs dword ptr es:[edi],dword ptr [esi]

使用db命令以byte格式显示esi寄存器中的内存

1: kd> db esi

b0844ffc  54 65 73 74 696e 67 53-79 6d 61 6e 74 65 63 45 TestingSymantecE

b084500c  78 70 6c 6f 6974 54 65-73 74 69 6e 67 53 79 6d xploitTestingSym

b084501c  61 6e 74 65 6345 78 70-6c 6f 69 74 54 65 73 74 antecExploitTest

b084502c  69 6e 67 53 796d 61 6e-74 65 63 45 78 70 6c 6f ingSymantecExplo

b084503c  69 74 54 65 7374 69 6e-67 53 79 6d 61 6e 74 65 itTestingSymante

b084504c  63 45 78 70 6c6f 69 74-54 65 73 74 69 6e 67 53 cExploitTestingS

b084505c  79 6d 61 6e 7465 63 45-78 70 6c 6f 69 74 54 65 ymantecExploitTe

b084506c  73 74 69 6e 6753 79 6d-61 6e 74 65 63 45 78 70 stingSymantecExp

使用lmvm命令查看AVEX15的详细信息

1: kd> lmvm AVEX15

start    end        module name

a1a1f000 a1bad180  NAVEX15    (no symbols)          

Loaded symbol imagefile: NAVEX15.SYS

Image path:/??/C:/Program Files/NortonSecurity/NortonData/22.6.0.142/Definitions/VirusDefs/20160506.004/NAVEX15.SYS

Image name:NAVEX15.SYS

Timestamp:        Tue Oct 13 17:32:30 2015 (561DA29E)

CheckSum:         00195B98

ImageSize:        0018E180

Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

该测试实例会产生如下可执行文件:

NAME RVA VSZ RAW_SZ RAW_PTR nREL REL_PTR nLINE LINE_PTR FLAGS
.data fff8 0 ffffffff 2000 0 0 0 0 0
.text fff8 0 1000 1000 0 0 0 0 0

其中包含漏洞利用的源代码。

测试实例:

testcase.txt

exploit.zip

*原文地址: project-zero ,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/vuls/104852.html
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS Apache基础教程 springboot-demo php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成zipkin快速入门Demo
  2. 2 能用365块大洋去解决的事,千万不要用时间
  3. 3 Spring Boot集成atomikos快速入门Demo
  4. 4 Spring Boot集成fastdfs快速入门Demo
  5. 5 Spring Boot集成Https快速入门Demo
  6. 6 Spring Boot集成easypoi快速入门Demo
  7. 7 Spring Boot集成webflux快速入门Demo
  8. 8 Spring Boot集成Graphql快速入门Demo
  9. 9 Spring Boot API 多版本快速入门Demo
  10. 10 Spring Boot内容协商快速入门Demo
网站信息
  • 文章总数:155,459 篇
  • 文件总数:468,740 个
  • 标签总数:2,264 个
  • 分类总数:90 个
  • 留言数量:2,540 条
  • 在线人数:699 人
  • 运行天数:4,193天
  • 最后更新:2024年04月20日04点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG