首页 » 漏洞 » MS15-035 EMF文件处理漏洞分析与POC构造

MS15-035 EMF文件处理漏洞分析与POC构造

 

MS15-035是Microsoft Graphics 组件处理增强型图元文件 (EMF) 的漏洞,可能允许远程执行代码。

通过补丁比对,可以看到主要是修补了一些可能存在整形溢出的位置,但是这些位置,我尝试了很多方法都无法执行到。

MS15-035 EMF文件处理漏洞分析与POC构造

但是

int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4) 

的修补是个例,补丁前的代码如下:

MS15-035 EMF文件处理漏洞分析与POC构造

打补丁后,代码如下:

MS15-035 EMF文件处理漏洞分析与POC构造

显然补丁后的代码对LocalAlloc分配的内存空间的最小值进行了限制,而打补丁之前并没有限制,因此猜测这里可能存在一个缓冲区越界写入问题。

通过分析函数调用链,可以找到MRSETDIBITSTODEVICE::bPlay被PlayEnhMetaFileRecord调用。PlayEnhMetaFileRecord根据EMF文件中元文件块类型调用不同的解析函数。09年的文章《New EMF gdiplus.dll crash not exploitable for code execution》描述的EMF漏洞CVE-2009-1217也进一步确认了explorer进程就是通过PlayEnhMetaFileRecord解析EMF文件的元文件块的。

下面简要介绍一下EMF文件的结构,EMF文件由可变大小的元文件块组成。每个元文件块都是一个可变长度的ENHMETARECORD结构,结构如下。

typedef struct tagENHMETARECORD {   DWORD iType;   DWORD nSize;   DWORD dParm[1]; } ENHMETARECORD, *PENHMETARECORD; 

SDK中定义了不同的iType类型,如下所示。

MS15-035 EMF文件处理漏洞分析与POC构造

根据iType类型的不同,dParm是不同的结构,EMR_SETDIBITSTODEVICE对应的结构是EMRSETDIBITSTODEVICE。

typedef struct tagEMR {     DWORD   iType;              // Enhanced metafile record type     DWORD   nSize;              // Length of the record in bytes.                                 // This must be a multiple of 4. } EMR, *PEMR;  typedef struct tagEMRSETDIBITSTODEVICE {     EMR     emr;     RECTL   rclBounds;          // Inclusive-inclusive bounds in device units     LONG    xDest;     LONG    yDest;     LONG    xSrc;     LONG    ySrc;     LONG    cxSrc;     LONG    cySrc;     DWORD   offBmiSrc;          // Offset to the source BITMAPINFO structure     DWORD   cbBmiSrc;           // Size of the source BITMAPINFO structure     DWORD   offBitsSrc;         // Offset to the source bitmap bits     DWORD   cbBitsSrc;          // Size of the source bitmap bits     DWORD   iUsageSrc;          // Source bitmap info color table usage     DWORD   iStartScan;     DWORD   cScans; } EMRSETDIBITSTODEVICE, *PEMRSETDIBITSTODEVICE;  对于MRSETDIBITSTODEVICE::bPlay函数,其第一个参数为EMRSETDIBITSTODEVICE。为了验证猜想的正确性,通过程序生成一个小的emf文件,对其中的iType进行修改,以便其执行到MRSETDIBITSTODEVICE::bPlay函数,将0x54(EMR_EXTTEXTOUTW)修改为0x50(EMR_SETDIBITSTODEVICE) 

HDC hEmf = CreateEnhMetaFile( 0 , "1.emf" , NULL , NULL ); RECT rect; rect.top = 0 ; rect.left = 0 ; rect.bottom = 20; rect.right = 200;  char szStr[] = "WSAWSAW"; ExtTextOut( hEmf , 0 , 0 , ETO_OPAQUE , &rect , szStr , sizeof(szStr) , NULL ); CloseEnhMetaFile(hEmf);                DeleteObject(hEmf); 

MS15-035 EMF文件处理漏洞分析与POC构造

由于我在Win7下,浏览存放EMF文件的目录并没有触发EMF文件的解析,因此通过mspaint.exe加载1.emf文件,执行到

int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4) 

函数时,可以看到ecx指向的数据与文件中的数据一致。

MS15-035 EMF文件处理漏洞分析与POC构造

为了实现之前的猜想,实现越界写操作,假定在((_DWORD *)v8 + 5) = v4->cbBitsSrc处实现了越界写,这就要求v4->cbBmiSrc小于(64)。

MS15-035 EMF文件处理漏洞分析与POC构造

由于MRSETDIBITSTODEVICE::bCheckRecord实现了对EMRSETDIBITSTODEVICE结构的合法性检查。函数如下。

MS15-035 EMF文件处理漏洞分析与POC构造

根据检查的内容,对emf文件进行修改,使其满足MRSETDIBITSTODEVICE::bCheckRecord检查的各项条件,同时使v4->cbBmiSrc小于(6*4),最终得到如下文件内容。

MS15-035 EMF文件处理漏洞分析与POC构造

用mspaint.exe加载emf文件,通过windbg可以观察到所有的检查都被绕过,同时LocalAlloc分配的内存大小为2。

MS15-035 EMF文件处理漏洞分析与POC构造

之后的((_DWORD *)v8 + 2) = v9与((_DWORD *)v8 + 5) = v4->cbBitsSrc都将实现缓冲区越界写入操作。

如果可以通过脚本在浏览器上显示emf文件,则有可能利用该漏洞实现远程代码执行。另外值得一提的是补丁中修补的其他如MF16_*的函数,这些函数的调用点都存在如下的代码段。这是对HDC的类型进行验证,只有类型是0x660000时,才会执行这些函数,而我只在调用CreateMetaFile后才得到了类型是0x660000的HDC,屏幕上显示时使用的HDC类型为0x10000。当HDC类型是0x660000时,调用PlayEnhMetaFile,最终不会执行PlayEnhMetaFileRecord。

MS15-035 EMF文件处理漏洞分析与POC构造

原文链接:MS15-035 EMF文件处理漏洞分析与POC构造,转载请注明来源!

0