제 목: Windows RPC Interface에서 LSD 버퍼 오버런 취약점 분석
발표일: 2003-07-25
저 자: flashsky (flashsky1_at_sina.com)
번 역: vangelis@wowhacker.org
** 와우해커에서는 한글용 Windows 2000과 XP용 exploit을 각각 제작 및 테스트를 완료했으며,
이 exploit은 적절한 패치가 끝난 후 공개할 예정입니다. Windows 2003 server에 대한
exploit은 이 글을 올리는 현재 테스트 중입니다.
** 영문으로 번역한 사람이 중국 사람인 것 같은데, 일부분에서 이상한 것이 있어도 그냥
번역했습니다. 이상한 부분은 원문을 참고하시기 바랍니다.
----------------------------------------------------------------------
서문
이 글은 flashsky라는 중국 보안그룹의 멤버가 작성한 "Windows RPC Interface에서 LSD 버퍼
오버런 취약점 분석"이라는 글을 편집 및 번역했다. 2003년 7월 16일 LSD는 Microsoft 운영
체계의 모든 최근 버전에서 중요한 보안 취약점을 발견했다고 발표했다. 그 취약점은 Windows
NT 4.0, Windows 2000, Windows XP 및 Windows 2003 Server를 디폴트로 설치했을 경우
발생한다. 하지만, LSD 측에서는 exploit 코드나 기술적 세부 사항에 대해서는 발표하지 않았다.
중국의 보안 그룹인 Xfocus는 LSD가 발표한 것에 대해 연구하다가 "Microsoft Windows 2000
RPC DCOM Interface DOS 및 권한 상승 취약점"을 발견했고, LSD가 발표한 취약점의 이유를
알게 되었다.
분석
사실 MS03-026는 두 가지 취약점을 해결했는데, 하나는 로컬 스택 오버플로우였고, 다른
하나는 원격 스택 오버플로우이다. 이 두 취약점은 같은 인터페이스에 의해 발생하며, 부적절한
API는 다음과 같다.
HRESULT CoGetInstanceFromFile(
COSERVERINFO * pServerInfo,
CLSID * pclsid,
IUnknown * punkOuter,
DWORD dwClsCtx,
DWORD grfMode,
OLECHAR * szName,
ULONG cmq,
MULTI_QI * rgmqResults
);
여섯번째 파라미터는 szName인데, MSDN에서 다음과 같이 말할 수 있다. 다음을 이용해
오브젝트를 초기화하기 위한 파일이다.
IPersistFile::Load.
이것은 NULL이 아닐 수 있다. 이 파라미터는 버퍼 오버플로우 결과가 나온다.
hr =
CoGetInstanceFromFile(pServerInfo,NULL,0,CLSCTX_REMOTE_SERVER,STGM_READWRITE,L"
C:\\1234561111111111111111111111111.doc",1,&qi);
파일명이 너무 길 때 Windows는 로컬 버퍼 오버플로우를 만드는데, RPCSS의
GetPathForServer 함수가 단지 0x220의 공간만이 가지고 있기 때문이다. 하지만 API가
로컬상에서 먼저 그 파일을 체크하고, 그리고 파일명이 0x220보다 더 긴 파일을 만들 수는
없다. 그래서 exploit하기 위해 이 API를 사용할 수 없다. 하지만 우리는 패킷을 만들어 LPC의
함수를 사용할 수 있다. 이 글에서는 단지 원격 스택 오버플로우에 초점을 맞춘다.
클라이언트가 서버에 파라미터를 전송한 후 서버는 그것을 다음과 같이 포맷하기 위해 그것을
다음과 같이 옮긴다.
L“\\servername\c$\1234561111111111111111111111111.doc"
그런 다음 서버는 먼저 servername을 구한다. 하지만 여기서 문제가 있는데, Windows는 그
파라미터를 점검하지 않고, 단지 0x20의 스택을 할당한다. 0x20은 NETBIOS 명의 최대
길이이다. 그래서 버퍼 오버플로우가 발생한다. 주 코드는 다음과 같다.
GetPathForServer：
.text:761543DA push ebp
.text:761543DB mov ebp, esp
.text:761543DD sub esp, 20h <-----길이가 단지 0x20임
.text:761543E0 mov eax, [ebp+arg_4]
.text:761543E3 push ebx
.text:761543E4 push esi
.text:761543E5 mov esi, [ebp+hMem]
.text:761543E8 push edi
.text:761543E9 push 5Ch
.text:761543EB pop ebx
.text:761543EC mov [eax], esi
.text:761543EE cmp [esi], bx
.text:761543F1 mov edi, esi
.text:761543F3 jnz loc_761544BF
.text:761543F9 cmp [esi+2], bx
.text:761543FD jnz loc_761544BF
.text:76154403 lea eax, [ebp+String1] <-----------servername
，을 위치시키기 위한 addr; 단지 0x20의 길이를 가짐
.text:76154406 push 0
.text:76154408 push eax
.text:76154409 push esi 〈---------파일명의 파라미터
.text:7615440A call GetMachineName
。。。。。。。。。
2290;。。。。。。。。。
;。。。。。。。
함수가 리턴할 때 버퍼 오버플로우가 발생한다.
GetMachineName:
.text:7614DB6F mov eax, [ebp+arg_0]
.text:7614DB72 mov ecx, [ebp+arg_4]
.text:7614DB75 lea edx, [eax+4]
.text:7614DB78 mov ax, [eax+4]
.text:7614DB7C cmp ax, 5Ch 〈-------- 0X5C인지
체크하고, 만약 그렇다면 servername은 오버되고
.text:7614DB80 jz short loc_7614DB93
.text:7614DB82 sub edx, ecx
.text:7614DB84
.text:7614DB84 loc_7614DB84: ; CODE XREF: sub_7614DA19+178_j
.text:7614DB84 mov [ecx], ax 〈------addr에
servername을 쓰고, 만약 0x20보다 더 길면 버퍼 오버플로우가 발생
.text:7614DB87 inc ecx
.text:7614DB88 inc ecx
.text:7614DB89 mov ax, [ecx+edx]
.text:7614DB8D cmp ax, 5Ch
.text:7614DB91 jnz short loc_7614DB84
.text:7614DB93
이제 우리는 문제를 찾았고, 그 문제를 exploit할 수 있다. 유일한 문제는 "\\servername"이
시스템에 의해 이름이 붙는다는 것이다. 하지만 우리는 조작된 메세지를 보내므로써 그것을
조작할 수 있다. 함수 GetMachineName이 쉘코드에 있는 "0x5c"를 체크하기 때문에 "0x5c"를
사용할 수 없다.
Exploit
1、 다음 exploit는 jump(FF E4)하기 위해 JMP ESP를 사용하고 있다. 그래서 우리는
다른 Windows 버전의 주소를 수정해야 한다.
2、쉘코드는 reverse된 ，를 연결할 수 있다. 그래서 우리는 먼저 "nc -l -p
XXX"를 실행한다.
3、쉘코드의 길이는 sizeof(shellcode)%16=12이어야 한다. 만약 그렇지 않다면
0x90으로 채우고 또는 RPC의 패킷 포맷은 문제가 있을 것이다.
4、 버퍼 오버플로우리턴하기 전에 리턴 어드레스 다음에 있는 2 개의 파라미터가
사용될 필요가 있다. 그래서 우리는 이 어드레스가 쓰여지도록 해야한다.
5、 exploit는 JMP ESP를 사용하는데, 우리는 SEH를 오버레이(overlay)함으로써
exploit할 수 있다.
----------------------------------------------------------------------
공격 코드 임의 삭제
======================================================================
About XFOCUS.ORG