Microsoft ASN.1庫(kù)BER解碼堆破壞漏洞
受影響系統(tǒng):
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CAN-2003-0818
Abstract Syntax Notation 1 (ASN.1)是用于多個(gè)應(yīng)用程序和設(shè)備的數(shù)據(jù)標(biāo)準(zhǔn)���,允許數(shù)據(jù)可在各種平臺(tái)傳遞��。Microsoft ASN.1庫(kù)廣泛使用在Windows安全子系統(tǒng)��,包含kerberos�����、NTLMv2驗(yàn)證��,及使用各種證書(shū)的應(yīng)用程序(SSL�����、EMAIL數(shù)字簽名�、ActiveX控件簽名)��。
Microsoft ASN.1庫(kù)實(shí)現(xiàn)上存在整數(shù)溢出漏洞����,遠(yuǎn)程攻擊者可以利用這些漏洞造成堆破壞從而執(zhí)行惡意指令����。漏洞影響MSASN1.DLL相關(guān)的應(yīng)用,其中比較常見(jiàn)的是LSASS.EXE和CRYPT32.DLL(任何使用CRYPT32.DLL的應(yīng)用程序)。
ASN.1基本編碼規(guī)則(BER)基本概念是一個(gè)靈活的編碼二進(jìn)制數(shù)據(jù)的編碼方案�。每片數(shù)據(jù)按照描述如何解釋下面值數(shù)據(jù)的類(lèi)型號(hào),然后是數(shù)據(jù)長(zhǎng)度���,最后是數(shù)據(jù)本身�,通過(guò)提供超大值(從0xFFFFFFFD到0xFFFFFFFF)給長(zhǎng)度字段����,可在堆分配函數(shù)中產(chǎn)生整數(shù)溢出,雖然有地方對(duì)這個(gè)值長(zhǎng)度進(jìn)行確認(rèn)和檢查���,不過(guò)在驗(yàn)證函數(shù)中獨(dú)立的指針?biāo)惴〞?huì)導(dǎo)致漏洞發(fā)生��。
具體漏洞細(xì)節(jié)如下:
1��、當(dāng)一個(gè)簡(jiǎn)單的值(這個(gè)值由原子數(shù)據(jù)組成)由MSASN1解碼時(shí)����,ASN1BERDecLength()調(diào)用來(lái)獲得值長(zhǎng)度��,然后把這個(gè)值長(zhǎng)度傳遞給ASN1BERDecCheck()函數(shù)確保數(shù)據(jù)實(shí)際存在����。
2�����、ASN1BERDecCheck()驗(yàn)證無(wú)符號(hào)數(shù)據(jù)"pointer_to_start_of_data + reported_length_of_data"是否小于或者等于"pointer_to_start_of_BER_block + total_size_of_BER_block"����,如果檢查沒(méi)通過(guò)�����,函數(shù)返回錯(cuò)誤�����,并停止解碼(本來(lái)ASN1BERDecCheck()函數(shù)檢查也存在問(wèn)題�,不過(guò)微軟在Windows 2000 SP4和Windows Server 2003中已經(jīng)在函數(shù)中增加額外的比較進(jìn)行修補(bǔ)了)。
3���、如果函數(shù)調(diào)用ASN1BERDecLength()然后嘗試分配內(nèi)存和拷貝數(shù)據(jù)(如ASN1BERDecOctetString()�����,不過(guò)不是ASN1BERDecOctetString2())��,它就會(huì)傳遞解碼的長(zhǎng)度給DecMemAlloc(),然后分配結(jié)果,此函數(shù)的操作也即:"LocalAlloc(LMEM_ZEROINIT, (length + 3) & ~3)."
4����、如果DecMemAlloc()函數(shù)成功返回,調(diào)用函數(shù)然后使用原始解碼的長(zhǎng)度作為計(jì)數(shù)字節(jié)長(zhǎng)度通過(guò)memcpy()把數(shù)據(jù)拷貝到已經(jīng)分配的堆緩沖區(qū)中��,就會(huì)觸發(fā)溢出���。
如果在第一步ASN1BERDecLength()解碼的長(zhǎng)度非常大����,就會(huì)在第二步ASN1BERDecCheck()增加長(zhǎng)度到當(dāng)前數(shù)據(jù)指針時(shí)發(fā)生整數(shù)溢出����。更明確的是,如果長(zhǎng)度數(shù)據(jù)范圍在0xFFFFFFFD 到0xFFFFFFFF之間��,會(huì)通過(guò)ASN1BERDecCheck()的檢查�����,在完成DecMemAlloc()調(diào)用后�����,長(zhǎng)度的總和會(huì)變?yōu)榱悖琇ocalAlloc()成功的分配零長(zhǎng)度堆段�,但由于memcpy()在處理超長(zhǎng)長(zhǎng)度數(shù)據(jù)進(jìn)行拷貝時(shí)沒(méi)有任何檢查,結(jié)構(gòu)可出現(xiàn)堆破壞���,臨近的任何數(shù)據(jù)可被任意數(shù)據(jù)覆蓋����。
最簡(jiǎn)單的方法產(chǎn)生此條件是構(gòu)建一個(gè)簡(jiǎn)單八位字符串(tag 04h)�,'length-of-length'設(shè)置為4,length設(shè)置為0xFFFFFFFF的編碼��,對(duì)應(yīng)字節(jié)為'04h/84h/FFh/FFh/FFh/FFh'�����,根據(jù)MSASN1客戶使用的解碼函數(shù)�����,可觸發(fā)此漏洞���。以下是受此漏洞影響的解碼函數(shù):
ASN1BerDecCharString
ASN1BERDecChar16String
ASN1BERDecChar32String
ASN1BERDecEoid
ASN1BERDecGeneralizedTime
ASN1BERDecMultibyteString
ASN1BERDecOctetString
ASN1BERDecOpenType
ASN1BERDecSXVal
ASN1BERDecUTCTime
ASN1BERDecUTF8String
ASN1BERDecZeroCharString
ASN1BERDecZeroChar16String
ASN1BERDecZeroChar32String
ASN1BERDecZeroMultibyteString
<*來(lái)源:Derek Soeder (
公司動(dòng)態(tài)
行業(yè)動(dòng)態(tài)
企業(yè)動(dòng)態(tài)
網(wǎng)絡(luò)熱點(diǎn)
QQ空間
新浪微博
開(kāi)心網(wǎng)
人人網(wǎng)
