Macrovision SafeDisc SecDRV.SYS驱动本地权限提升漏洞中华网络安全联盟 www.77941.com

首页 新闻中心 行业动态软件新闻安全资讯病毒预警漏洞发布 操作系统 Dos Win9x Win2000 WinXP Win2003 WinVista Linux Unix
数据库 DB2 Access MSSQL MySQL Oracle Sybase 编程技术 ASP PHP JSP CGI/Perl XML .Net C/C++/C# VB VC Delphi Java 汇编
安全技术 安全教学工具介绍漏洞利用病毒防范入侵检测防火墙安全防范汉化破解攻击实例加密解密 进程知识 技术论坛

中华网络安全联盟 >> 新闻中心 >> 漏洞发布 >> Macrovision SafeDisc SecDRV.SYS驱动本地权限提升漏洞

Globe7 SIP软件电话弱
Grandstream HandyTon
Apache Tomcat WebDav
Trend Micro病毒扫描引
Microsoft Visual Fox
SpeedFan Speedfan.sy
JustSystem Ichitaro
MLDonkey P2P用户空口

Macrovision SafeDisc SecDRV.SYS驱动本地权限提升漏洞

字体：小大

中华网络安全联盟 来源：奇趣 时间：2007-10-27 16:25:51

发布日期：2007-10-18
更新日期：2007-10-25

受影响系统：

Macrovision SafeDisc

描述：

BUGTRAQ  ID: 26121

Macrovision的Safedisc是目前最常用在商业数据光盘上的防拷机制。

Safedisc的secdrv.sys实现上存在漏洞，本地攻击者可能利用此漏洞控制系统。

Safedisc所提供的secdrv.sys驱动中的以下代码段：

.text:00015E2C                 cmp     [ebp+var_10], 0CA002813h
.text:00015E33                 jz      short loc_15E69

IOCTL为METHOD_NEITHER，该驱动没有正确地处理这个方式：

.text:00015ED9                 call    dword ptr [eax+10h] ; Internal
Dispatcher
.text:00015EDC                 mov     [ebp+var_1C], eax
.text:00015EDF                 cmp     [ebp+var_1C], 0Ah
.text:00015EE3                 jz      short loc_15EFC
.text:00015EE5                 mov     eax, [ebp+arg_4]
.text:00015EE8                 mov     dword ptr [eax], 0C0000001h
.text:00015EEE                 mov     eax, [ebp+arg_4]
.text:00015EF1                 and     dword ptr [eax+4], 0
.text:00015EF5                 mov     eax, 0C0000001h
.text:00015EFA                 jmp     short loc_15F21
.text:00015EFC ;
---------------------------------------------------------------------------
.text:00015EFC
.text:00015EFC loc_15EFC:                              ; CODE XREF:
sub_15E12+D1j
.text:00015EFC                 mov     ecx, [ebp+var_4]
.text:00015EFF                 mov     esi, [ebp+var_C]
.text:00015F02                 mov     eax, [ebp+arg_0]
.text:00015F05                 mov     edi, [eax+3Ch]  ; Output Buffer
(Irp->UserBuffer)
.text:00015F08                 mov     eax, ecx        ; Inline memcpy
.text:00015F0A                 shr     ecx, 2
.text:00015F0D                 rep movsd
.text:00015F0F                 mov     ecx, eax
.text:00015F11                 and     ecx, 3
.text:00015F14                 rep movsb

没有正确地检查用户提供的缓冲区便将输入缓冲区的前4个DWORD拷贝到了输出缓冲区，因此可以覆盖任意地址，甚至内核地址。利用这个漏洞的限制是InputBuffer必须为固定的值。本地攻击者可以利用这个漏洞在Windows平台上获得系统级权限。

<*来源：Elia Florio （elia_florio@symantec.com）

  链接：http://www.symantec.com/enterprise/security_response/weblog/2007/10/privilege_escalation_exploit_i.h
        http://marc.info/?l=bugtraq&m=119272877211472&w=2
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.securityfocus.com/data/vulnerabilities/exploits/26121-secdrv-plugin_exploit_32bit.zip

建议：

厂商补丁：

Macrovision
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.macrovision.com/

字体：小大