對多款殺毒軟件和防火墻的SSDT Hook函數(shù)的參數(shù)驗證不嚴(yán)。通過對多款殺毒軟件和防火墻的(BitDefender Antivirus [1], Comodo Firewall [2], Sophos Antivirus [3]和瑞星殺毒軟件[4])的SSDT hook 函數(shù)的粗略檢查發(fā)現(xiàn)可以導(dǎo)致拒絕服務(wù)(DOS),并可能執(zhí)行代碼攻擊。 攻擊者利用這些缺陷可以本地重啟系統(tǒng),關(guān)閉防火墻和殺毒軟件保護(hù)。然 而,很多情況下它可能利用這些bug導(dǎo)致在特權(quán)內(nèi)核模式下執(zhí)行任意代碼 。
*報告信息*
標(biāo)題:對多款殺毒軟件和防火墻的SSDT Hook函數(shù)的參數(shù)驗證不嚴(yán)
報告ID: CORE-2008-0320
報告URL: http://www.coresecurity.com/?action=item&id=2249
發(fā)布日期: 2008-04-28
最后更新日期: 2008-04-28
包含廠商: BitDefender, Comodo, Sophos和瑞星
發(fā)布模式: 協(xié)調(diào)發(fā)布(BitDefender, Comodo, Rising), 用戶發(fā)布 (Sophos)
*漏洞信息*
類別:無效內(nèi)存參數(shù)
可遠(yuǎn)程利用:否
可本地利用:是
Bugtraq ID:28741,28742,28743,28744
CVE 名稱:CVE-2008-1735, CVE-2008-1736, CVE-2008-1737, CVE-2008 -1738
*漏洞描述*
*漏洞影響版本*
. BitDefender Antivirus 2008 Build 11.0.11
. Comodo Firewall Pro 2.4.18.184
. Sophos Antivirus 7.0.5
. 瑞星殺毒軟件19.60.0.0 and 19.66.0.0
. 舊版本未測試,可能會被影響.
*不受影響的版本*
. BitDefender Antivirus 2008版本可以通過自動更新更新至一月18號之 后的版本
. Comodo Firewall Pro 3.0
. 瑞星殺毒軟件20.38.20
*廠商信息,解決方案和其他*
1) BITDEFENDER ANTIVIRUS (BID 28741, CVE-2008-1735)
根據(jù)BitDefender的說明,這個缺陷尚未被惡意程序利用,并且可通過自 動更新修正。這一問題的信息可以在BitDefender的網(wǎng)站上找到: http://kb.bitdefender.com/KB419-en–Security-vulnerability-in- BitDefender-2008.html
2) COMODO FIREWALL PRO (BID 28742, CVE-2008-1736)
這個漏洞在Comodo Firewall Pro 3.0中被修正,新版本在 http://www.personalfirewall.comodo.com/download_firewall.html下 載
3) SOPHOS ANTIVIRUS (BID 28743, CVE-2008-1737)
廠商聲明:“在windows 2000,2003和XP下的Sophos Anti-Virus 7.x將 會受此漏洞影響。”不受影響的SOPHOS產(chǎn)品包括早起的SOPHOS windows殺 毒軟件,SOPHOS飛windows平臺殺毒軟件和其他SOPHOS產(chǎn)品。
這個漏洞只有在實時行為分析開啟狀態(tài)才可以利用。它需要用戶將web瀏 覽器的安全設(shè)置調(diào)整到默認(rèn)級別以下或者允許從網(wǎng)頁上啟動ActiveX或 Java Applet。
可以使用以下方法避免漏洞被利用:
a. 使用默認(rèn)的安全設(shè)置或較高級別的最新版本W(wǎng)eb瀏覽器。作為通用的安 全管理,我們不建議用戶下載ActiveX或者Java Applets,除非你信任他 的內(nèi)容。
b. 關(guān)閉Sophos Anti-Virus的實時行為分析功能。(用戶仍會受到Sophos 行為遺傳分析和其他方式的對抗惡意軟件的保護(hù)手段的保護(hù)。)
N.B. 如果攻擊程序被放出,Sophos將會部署保護(hù)以對抗攻擊程序。
漏洞的修復(fù)需要用戶重新啟動終端。鑒于為非緊急漏洞,為了盡量不打擾 我們的客戶,Sophos將會盡早的在一個需要重新啟動的產(chǎn)品中包含這個修 正。
4) RISING ANTIVIRUS (BID 28744, CVE-2008-1738)
瑞星殺毒軟件的修正版可以在 http://rsdownload.rising.com.cn/for_down/rsfree/ravolusrfree.exe 下載。
所有的瑞星用戶都可以通過自動更新更新到修補過的版本。
*榮譽歸功于*
這些漏洞(除了瑞星)是被Core Security Technologies的Damian Saura, Anibal Sacco, Dario Menichelli, Norberto Kueffner, Andres Blancoy Rodrigo Carvalho在bugweek 2007時發(fā)現(xiàn)的。瑞星漏洞是被Core
Security Technologies exploit writers team的Anibal Sacco發(fā)現(xiàn)的。
*技術(shù)描述/poc代碼*
我們發(fā)現(xiàn)BitDefender Antivirus, 瑞星殺毒軟件, Comodo
Firewall和Sophos Antivirus并沒有在使用hook函數(shù)時驗證參數(shù),導(dǎo)致程序試圖轉(zhuǎn)向無效內(nèi)存,導(dǎo)致BSOD(Blue Screen of Death)。
在我們的測試中,我們使用了內(nèi)核hook探測工具BSODhook [5]去尋找任何形式的未被充分驗證的SSDT hook參數(shù)。從Matousec的文件[6]:
分析部分太長無法貼出。參考:
http://www.scanw.com/blog/archives/162
新聞來源:CoreLabs Advisory(AYANAMI REI的翻譯)
