本文向您展示了如何进行CVE-2017-16943-Exim-UAF漏洞分析。内容简洁易懂,一定会让你眼前一亮。希望通过这篇文章的详细介绍,你能有所收获。
0x00 背景介绍
Exim是剑桥大学开发的基于GPL协议的开源软件,主要用于在互联网上连接Unix系统的MTA服务器。
2017年11月25日,Exim正式修复了一个免后用漏洞。台湾省安防公司DEVCORE研究员Meh发现CVE号为CVE-2017-16943,发表了POC。但是根据我们的分析和跟进,POC必须开启配置文件中的dkim,才能达到控制EIP,导致进程崩溃的效果。
2017年12月11日,Meh在DEVCORE官网公布了默认配置下的漏洞和POC的具体细节。
360 CERT验证了这一点,并证明其会造成远程代码执行,影响范围广,危害严重。
0x01 漏洞攻击面影响
1、影响面
360CERT全网资产检索平台显示,截至2017年12月15日,检索结果显示,全球运行Exim的服务器超过百万台,全球影响力分布图如下:
2、影响版本
此漏洞会影响开放区块设置的4.88和4.89版本。
3、修复版本
360 CERT建议相关用户及时下载官方修复补丁,关闭组块设置或更新到4.90版本。
0x02 漏洞详情
1. 开启dkim配置下控制rip
Exim管理三种堆,它们被定义为枚举类型的全局变量:
POOL_MAIN:表示主要分配的堆块,可以释放,消息处理将分配在这个堆池中。
POOL_PERM:意味着分配的内存是永久的,在进程结束之前不会释放。它保存一些需要共享的信息,如配置信息和主机信息。在使用这个堆池分配之前,store_pool将被更改为POOL_PERM,然后调用store_get()。
POOL_SEARCH:保存搜索到的数据,用于search _ tidyup、search_open和internal_search_find函数。
Exim将循环读取消息并动态分配内存。申请内存的函数包括:expand_string(),store_get(),string_xxx(),store_get_perm()将使用perm池。
在配置文件/usr/exim/configure中注释“control=dkim_disable_verify”,这会触发进程崩溃,然后控制rip。原因如下:
在receive_msg函数中,将判断是否打开dkim。如果打开,将进入dkim_exim_verify_init功能:
在dkim_exim_verify_init函数中,申请perm池中的内存:
在堆中分配一块内存,而不更改current_block[0]中的值。在随后的消息处理中,将在主池中分配一块0x2010。释放后,由于之前perm池的块,释放的块不会与顶部块合并,成为无序的bin。此时,fd和bk指向主竞技场区域。再次前往store extend后,通过store_get获取主竞技场的指针,然后memcpy写入主竞技场,后续自由操作崩溃,RIP变成填充数据。
具体详情如下:
2. 默认配置下控制rip
devcore公司公布具体细节后,我们分析了默认配置下如何控制rip。其实原理和开dkim的配置差不多。有必要在top_chunk之前分配一个正在使用的堆块,以防止稍后释放的堆块与top_chunk合并。作者的概念验证是使用DATA发送足够大的数据来扩展堆块。在许多周期之后,前一个堆块在此期间被释放,并成为一个大的未排序的bin块供后续分配。此时,top_chunk之前有一个正在使用的堆块,然后使用BDAT命令来控制rip。
控制rip的具体过程如下:
0x03 漏洞利用验证
根据meh的概念和想法,我们写了exp。通过控制rip跳转到fflush(stdout),并将_IO_FILE结构覆盖为攻击代码,并将_IO_jump_t虚拟表结构中的(_IO_sync_t,__sync)覆盖为系统函数地址,执行攻击代码。
Exp攻击效果图:
0x04 官方补丁
官方补丁确定要释放的堆块是否是最后一个堆块,如果不是,则无法释放,因此无法满足UAF条件,也无法触发漏洞。
以上内容是如何进行CVE-2017-16943-Exim-UAF漏洞分析。你学到什么知识或技能了吗?如果你想学习更多的技能或丰富你的知识,请关注行业信息渠道。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/153814.html