MS15-035 EMF檔案處理漏洞分析與POC構造

MS15-035是Microsoft Graphics 元件處理增強型圖元檔案 (EMF) 的漏洞，可能允許遠端執行程式碼。

透過補丁比對，可以看到主要是修補了一些可能存在整形溢位的位置，但是這些位置，我嘗試了很多方法都無法執行到。

但是

#!c++
int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4)

的修補是個例，補丁前的程式碼如下：

打補丁後，程式碼如下：

顯然補丁後的程式碼對LocalAlloc分配的記憶體空間的最小值進行了限制，而打補丁之前並沒有限制，因此猜測這裡可能存在一個緩衝區越界寫入問題。

透過分析函式呼叫鏈，可以找到MRSETDIBITSTODEVICE::bPlay被PlayEnhMetaFileRecord呼叫。PlayEnhMetaFileRecord根據EMF檔案中元檔案塊型別呼叫不同的解析函式。09年的文章《New EMF gdiplus.dll crash not exploitable for code execution》描述的EMF漏洞CVE-2009-1217也進一步確認了explorer程式就是透過PlayEnhMetaFileRecord解析EMF檔案的元檔案塊的。

下面簡要介紹一下EMF檔案的結構，EMF檔案由可變大小的元檔案塊組成。每個元檔案塊都是一個可變長度的ENHMETARECORD結構，結構如下。

#!c++
typedef struct tagENHMETARECORD {
  DWORD iType;
  DWORD nSize;
  DWORD dParm[1];
} ENHMETARECORD, *PENHMETARECORD;

SDK中定義了不同的iType型別，如下所示。

根據iType型別的不同，dParm是不同的結構，EMR_SETDIBITSTODEVICE對應的結構是EMRSETDIBITSTODEVICE。

#!c++
typedef struct tagEMR
{
    DWORD   iType;              // Enhanced metafile record type
    DWORD   nSize;              // Length of the record in bytes.
                                // This must be a multiple of 4.
} EMR, *PEMR;

typedef struct tagEMRSETDIBITSTODEVICE
{
    EMR     emr;
    RECTL   rclBounds;          // Inclusive-inclusive bounds in device units
    LONG    xDest;
    LONG    yDest;
    LONG    xSrc;
    LONG    ySrc;
    LONG    cxSrc;
    LONG    cySrc;
    DWORD   offBmiSrc;          // Offset to the source BITMAPINFO structure
    DWORD   cbBmiSrc;           // Size of the source BITMAPINFO structure
    DWORD   offBitsSrc;         // Offset to the source bitmap bits
    DWORD   cbBitsSrc;          // Size of the source bitmap bits
    DWORD   iUsageSrc;          // Source bitmap info color table usage
    DWORD   iStartScan;
    DWORD   cScans;
} EMRSETDIBITSTODEVICE, *PEMRSETDIBITSTODEVICE;

對於MRSETDIBITSTODEVICE::bPlay函式，其第一個引數為EMRSETDIBITSTODEVICE。為了驗證猜想的正確性，透過程式生成一個小的emf檔案，對其中的iType進行修改，以便其執行到MRSETDIBITSTODEVICE::bPlay函式，將0x54（EMR_EXTTEXTOUTW）修改為0x50（EMR_SETDIBITSTODEVICE）

。

#!c++
HDC hEmf = CreateEnhMetaFile( 0 , "1.emf" , NULL , NULL );
RECT rect;
rect.top = 0 ;
rect.left = 0 ;
rect.bottom = 20;
rect.right = 200;

char szStr[] = "WSAWSAW";
ExtTextOut( hEmf , 0 , 0 , ETO_OPAQUE , &rect , szStr , sizeof(szStr) , NULL );
CloseEnhMetaFile(hEmf);               
DeleteObject(hEmf);

由於我在Win7下，瀏覽存放EMF檔案的目錄並沒有觸發EMF檔案的解析，因此透過mspaint.exe載入1.emf檔案，執行到

#!c++
int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4)

函式時，可以看到ecx指向的資料與檔案中的資料一致。

為了實現之前的猜想，實現越界寫操作，假定在((_DWORD *)v8 + 5) = v4->cbBitsSrc處實現了越界寫，這就要求v4->cbBmiSrc小於（64）。

由於MRSETDIBITSTODEVICE::bCheckRecord實現了對EMRSETDIBITSTODEVICE結構的合法性檢查。函式如下。

根據檢查的內容，對emf檔案進行修改，使其滿足MRSETDIBITSTODEVICE::bCheckRecord檢查的各項條件，同時使v4->cbBmiSrc小於（6*4），最終得到如下檔案內容。

用mspaint.exe載入emf檔案，透過windbg可以觀察到所有的檢查都被繞過，同時LocalAlloc分配的記憶體大小為2。

之後的((_DWORD *)v8 + 2) = v9與((_DWORD *)v8 + 5) = v4->cbBitsSrc都將實現緩衝區越界寫入操作。

如果可以透過指令碼在瀏覽器上顯示emf檔案，則有可能利用該漏洞實現遠端程式碼執行。另外值得一提的是補丁中修補的其他如MF16_*的函式，這些函式的呼叫點都存在如下的程式碼段。這是對HDC的型別進行驗證，只有型別是0x660000時，才會執行這些函式，而我只在呼叫CreateMetaFile後才得到了型別是0x660000的HDC，螢幕上顯示時使用的HDC型別為0x10000。當HDC型別是0x660000時，呼叫PlayEnhMetaFile，最終不會執行PlayEnhMetaFileRecord。