安全研究

安全漏洞
Macrovision SafeDisc SecDRV.SYS驱动本地权限提升漏洞(MS07-067)

发布日期:2007-10-18
更新日期:2007-12-12

受影响系统:
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Macrovision SafeDisc
描述:
BUGTRAQ  ID: 26121
CVE(CAN) ID: CVE-2007-5587

Macrovision的Safedisc是目前最常用在商业数据光盘上的防拷机制。

Safedisc的secdrv.sys实现上存在漏洞,本地攻击者可能利用此漏洞控制系统。

Safedisc所提供的secdrv.sys驱动中的以下代码段:

.text:00015E2C                 cmp     [ebp+var_10], 0CA002813h
.text:00015E33                 jz      short loc_15E69

IOCTL为METHOD_NEITHER,该驱动没有正确地处理这个方式:

.text:00015ED9                 call    dword ptr [eax+10h] ; Internal
Dispatcher
.text:00015EDC                 mov     [ebp+var_1C], eax
.text:00015EDF                 cmp     [ebp+var_1C], 0Ah
.text:00015EE3                 jz      short loc_15EFC
.text:00015EE5                 mov     eax, [ebp+arg_4]
.text:00015EE8                 mov     dword ptr [eax], 0C0000001h
.text:00015EEE                 mov     eax, [ebp+arg_4]
.text:00015EF1                 and     dword ptr [eax+4], 0
.text:00015EF5                 mov     eax, 0C0000001h
.text:00015EFA                 jmp     short loc_15F21
.text:00015EFC ;
---------------------------------------------------------------------------
.text:00015EFC
.text:00015EFC loc_15EFC:                              ; CODE XREF:
sub_15E12+D1j
.text:00015EFC                 mov     ecx, [ebp+var_4]
.text:00015EFF                 mov     esi, [ebp+var_C]
.text:00015F02                 mov     eax, [ebp+arg_0]
.text:00015F05                 mov     edi, [eax+3Ch]  ; Output Buffer
(Irp->UserBuffer)
.text:00015F08                 mov     eax, ecx        ; Inline memcpy
.text:00015F0A                 shr     ecx, 2
.text:00015F0D                 rep movsd
.text:00015F0F                 mov     ecx, eax
.text:00015F11                 and     ecx, 3
.text:00015F14                 rep movsb

没有正确地检查用户提供的缓冲区便将输入缓冲区的前4个DWORD拷贝到了输出缓冲区,因此可以覆盖任意地址,甚至内核地址。利用这个漏洞的限制是InputBuffer必须为固定的值。本地攻击者可以利用这个漏洞在Windows平台上获得系统级权限。

<*来源:Elia Florio (elia_florio@symantec.com
  
  链接:http://www.symantec.com/enterprise/security_response/weblog/2007/10/privilege_escalation_exploit_i.h
        http://www.microsoft.com/technet/security/advisory/944653.mspx?pf=true
        http://marc.info/?l=bugtraq&m=119272877211472&w=2
        http://marc.info/?l=bugtraq&m=119272139829360&w=2
        http://www.microsoft.com/technet/security/Bulletin/MS07-067.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA07-345A.html
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://kartoffel.reversemode.com/downloads/secdrv-plugin_exploit_32bit.zip

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS07-067)以及相应补丁:
MS07-067:Vulnerability in Macrovision Driver Could Allow Local Elevation of Privilege (944653)
链接:http://www.microsoft.com/technet/security/Bulletin/MS07-067.mspx?pf=true

浏览次数:4220
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客