一、背景

Windows安全通道(Secure Channel,Schannel)惊报漏洞,微软日前发布列为重大等级的MS14-066信息安全公告,揭露了在Schannel中的远程代码执行漏洞(CVE-2014-6321)。

受影响的微软产品包括:

个人端操作系统:Windows VistaSP2、Windows 7 SP1、Windows 8到Windows 8.1
服务器操作系统:Windows Server 2003 SP2、2008 SP2、2008 R2 SP1、2012到2012 R2
微软平板:Windows RT和Windows RT 8.1。

黑客可以构造特定的数据包在Schannel中远程执行恶意代码,并藉此漏洞入侵系统。因为Schannel是Windows实现SSL/TLS协议的组件之一,所以CVE-2014-6321漏洞就像是OpenSSL中的Heartbleed漏洞,危害巨大。

思科Talos团队表示,MS14-066涉及一个常见漏洞揭露CVE-2014-6321。虽然该漏洞是单一的CVE,但是实际上却包含了多个漏洞,范围广从缓冲区到凭证验证。

Rapid7资深信息安全工程经理Ross Barrett表示,目前CVE-2014-6321漏洞的影响还不大,但是如果攻击代码泄漏,该漏洞将会成为严重的问题,且影响会扩大。

目前,微软也尚未接到有关该漏洞已公开用来攻击用户的消息,而微软在官网也表示,此安全更新可以更正Schannel清理特定封包的方式,进而消除此项安全风险。

二、探究

网上关于CVE-2014-6321漏洞的详情与利用方法鲜有披露。我们通过新发布的补丁来一探究竟。

通过对打补丁前后的schannle.dll文件进行二进制比较,可查看到一些修改过的函数,其中几个是类DTLSCookieManager的方法。由此表明了至少有一个bug位于DTLSCookieManager类中。而大家最关心的bug好像是位于schannel!DecodeSigAndReverse(…)中,DecodeSigAndReverse函数的变更如下所示。

由从上图可清楚的看到DecodeSigAndReverse函数中间添加了一些新的代码块(图右侧中的灰色模块)。新添分支往往是一个好兆头!如果我们放大打补丁的版本(图右侧),情况似乎更符合预期。

上图可看到新添代码块把运行路径指向了memcpy调用(实际上是两次memecpy函数调用)。程序是如何运行到这部分代码?可查看DecodeSigAndReverse函数在未打补丁版本中的调用路径。

由上图可知,似乎需要先命中“ProcessHandshake”函数,然后再构造一个“Client Verify Message”(客户端验证消息)来命中被修改的代码。为了实现触发,我们查阅了MSDN中有关TLS/SSL的文档(如下图)。

根据调用路径中涉及的函数名称,Schannel可能是在处理一个“Certificate Verify”消息,涉及证书的认证过程(客户端发送一个证书到服务器,服务器通过证书验证客户端身份)。如果仔细查看未打补丁的函数,可从调用函数CryptDecodeObject的参数lpszStructType发现一个关键的线索。

BOOL WINAPI CryptDecodeObject(
 _In_     DWORD dwCertEncodingType,                  //使用的编码类型
 _In_     LPCSTR lpszStructType,                     //结构的类型
 _In_     constBYTE *pbEncoded,                      //指向待解码的结构
 _In_     DWORD cbEncoded,                           //待解码结构的字节长度
  _In_     DWORDdwFlags,                                         
 _Out_    void*pvStructInfo,                         //指向存储解码后的结构
 _Inout_  DWORD *pcbStructInfo                       //表示解码后的据结构的字节长度
);

通过MSDN查询,我们可获知lpszStructType参数指出证书签名的结构类型。在本例中,可以是X509_ECC_SIGNATURE(ECDSA签名)和X509_DSS_SIGNATURE(DSS签名)。若选择ECC_SIGNATURE,该结构在MSDN中有具体的定义。

//CERT_ECC_SIGNATURE结构包含了椭圆曲线数字签名算法(ECDSA)的r值和s值。
typedef struct _CERT_ECC_SIGNATURE {
 CRYPT_UINT_BLOB r;             // ECDSA签名的r值,Little-Endian字节顺序。
 CRYPT_UINT_BLOB s;              // ECDSA签名的s值,Little-Endian字节顺序。
} CERT_ECC_SIGNATURE, *PCERT_ECC_SIGNATURE;

其中一个memcpys函数调用的size参数好像存在问题,可能与证书的编码过程有关。

void *memcpy(
void *dest,             //目的的缓冲区。
const void *src,        //源的缓冲区
size_t size             //字节长度。
);

据我们所知,最快速的处理方法就是在运行状态下观察这个函数(PS当然要用调试器,不然看不到哟)。因此,利用OpenSSL创建一个ECDSA签名的证书,并将IIS设置成证书认证的方式。然后,把远程调试器附加到运行IIS服务的服务器中的LSASS进程,并在比较ECC_SIGNATURE(ECDSA签名)的地方设置断点(cmp ebx, 2F)。

令人吃惊的是,当利用OpenSSL client第一次尝试链接IIS服务进行认证时,断点就被触发。既然能够命中存在问题的代码,下一步就是触发漏洞。为了加快分析过程,我们决定修改OpenSSl来模糊测试这个调用路径。

在OpenSSL中,源文件s3_clnt.c实现了“client verify messages”的ECDSA签名。客户端的已编码的ECDSA签名由客户端上OpenSSL中ECDSA_sign(…)函数生成,最终命中IIS服务器上schannel!DecodeSigAndReverse()中的函数CryptDecodeObject(…)。如果追踪函数ssl3_send_client_verify(…),发现它最终会调用ECDSA_sign(…),下图就是对“client verify messages”进行ECDSA签名的代码块。

#ifndef OPENSSL_NO_ECDSA
                            if(pkey->type == EVP_PKEY_EC)
                            {
                            if(!ECDSA_sign(pkey->save_type,
                                     &(data[MD5_DIGEST_LENGTH]),
                                     SHA_DIGEST_LENGTH,&(p[2]),
                                     (unsignedint *)&j,pkey->pkey.ec))
                                     {
                                     SSLerr(SSL_F_SSL3_SEND_CLIENT_VERIFY,
                                         ERR_R_ECDSA_LIB);
                                     gotoerr;
                                     }
                            s2n(j,p);
                            n=j+2;
                            }
                   else
#endif

为弄清楚这个调用过程,其中ECDSA_sign函数的原型如下:

int  ECDSA_sign(
int type,                      //可忽略
const unsigned char *dgst,     //指向待签名的散列值
int dgstlen,                   //散列值的长度
unsigned char *sig,            //指向存储DER编码的签名的存储空间
unsigned int *siglen,          //签名的长度
EC_KEY *eckey                  //EC_KEY对象,包含了EC私钥
);

通过查阅该函数的帮助文档,可知“DER编码后的签名存储在sig中,而sig的长度存储在sig_len中”。如果打算使用OpenSSl s_client向IIS发起身份认证,然后Schannel一路运行到schannel!DecodeSigAndRevers(…)函数,我们可以看到变量“p”经ECDSA_sign(…)运算的结果会提交到schannel!CryptDecodeObject(…)函数,经过解码后并传递到存在问题代码中的memcpy调用。

因此,仅需将变量“p”中的一个字节设置为一个随机值,然后不停向IIS发送“Certificate Verify”消息,直到一些奇怪的事情发生。如果等待足够的时间,可以观察由memcyp引起的进程崩溃。

进一步的分析和漏洞利用留给读者来练手。(太给读者们面子了)

[参考信息来源beyondtrust,内容有所删减,尽量保留了原文本意。译自Rabbit_Run,喜欢文章请点赞鼓励。转载请注明来自FreeBuf.COM]

源链接

Hacking more

...