MS15-035 EMF檔案處理漏洞分析與POC構造

wyzsk發表於2020-08-19
作者: cssembly · 2015/04/21 9:58

MS15-035是Microsoft Graphics 元件處理增強型圖元檔案 (EMF) 的漏洞,可能允許遠端執行程式碼。

透過補丁比對,可以看到主要是修補了一些可能存在整形溢位的位置,但是這些位置,我嘗試了很多方法都無法執行到。

enter image description here

但是

#!c++
int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4)

的修補是個例,補丁前的程式碼如下:

enter image description here

打補丁後,程式碼如下:

enter image description here

顯然補丁後的程式碼對LocalAlloc分配的記憶體空間的最小值進行了限制,而打補丁之前並沒有限制,因此猜測這裡可能存在一個緩衝區越界寫入問題。

透過分析函式呼叫鏈,可以找到MRSETDIBITSTODEVICE::bPlay被PlayEnhMetaFileRecord呼叫。PlayEnhMetaFileRecord根據EMF檔案中元檔案塊型別呼叫不同的解析函式。09年的文章《New EMF gdiplus.dll crash not exploitable for code execution》描述的EMF漏洞CVE-2009-1217也進一步確認了explorer程式就是透過PlayEnhMetaFileRecord解析EMF檔案的元檔案塊的。

下面簡要介紹一下EMF檔案的結構,EMF檔案由可變大小的元檔案塊組成。每個元檔案塊都是一個可變長度的ENHMETARECORD結構,結構如下。

#!c++
typedef struct tagENHMETARECORD {
  DWORD iType;
  DWORD nSize;
  DWORD dParm[1];
} ENHMETARECORD, *PENHMETARECORD;

SDK中定義了不同的iType型別,如下所示。

enter image description here

根據iType型別的不同,dParm是不同的結構,EMR_SETDIBITSTODEVICE對應的結構是EMRSETDIBITSTODEVICE。

#!c++
typedef struct tagEMR
{
    DWORD   iType;              // Enhanced metafile record type
    DWORD   nSize;              // Length of the record in bytes.
                                // This must be a multiple of 4.
} EMR, *PEMR;

typedef struct tagEMRSETDIBITSTODEVICE
{
    EMR     emr;
    RECTL   rclBounds;          // Inclusive-inclusive bounds in device units
    LONG    xDest;
    LONG    yDest;
    LONG    xSrc;
    LONG    ySrc;
    LONG    cxSrc;
    LONG    cySrc;
    DWORD   offBmiSrc;          // Offset to the source BITMAPINFO structure
    DWORD   cbBmiSrc;           // Size of the source BITMAPINFO structure
    DWORD   offBitsSrc;         // Offset to the source bitmap bits
    DWORD   cbBitsSrc;          // Size of the source bitmap bits
    DWORD   iUsageSrc;          // Source bitmap info color table usage
    DWORD   iStartScan;
    DWORD   cScans;
} EMRSETDIBITSTODEVICE, *PEMRSETDIBITSTODEVICE;

對於MRSETDIBITSTODEVICE::bPlay函式,其第一個引數為EMRSETDIBITSTODEVICE。為了驗證猜想的正確性,透過程式生成一個小的emf檔案,對其中的iType進行修改,以便其執行到MRSETDIBITSTODEVICE::bPlay函式,將0x54(EMR_EXTTEXTOUTW)修改為0x50(EMR_SETDIBITSTODEVICE)

#!c++
HDC hEmf = CreateEnhMetaFile( 0 , "1.emf" , NULL , NULL );
RECT rect;
rect.top = 0 ;
rect.left = 0 ;
rect.bottom = 20;
rect.right = 200;

char szStr[] = "WSAWSAW";
ExtTextOut( hEmf , 0 , 0 , ETO_OPAQUE , &rect , szStr , sizeof(szStr) , NULL );
CloseEnhMetaFile(hEmf);               
DeleteObject(hEmf);

enter image description here

由於我在Win7下,瀏覽存放EMF檔案的目錄並沒有觸發EMF檔案的解析,因此透過mspaint.exe載入1.emf檔案,執行到

#!c++
int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4)

函式時,可以看到ecx指向的資料與檔案中的資料一致。

enter image description here

為了實現之前的猜想,實現越界寫操作,假定在((_DWORD *)v8 + 5) = v4->cbBitsSrc處實現了越界寫,這就要求v4->cbBmiSrc小於(64)。

enter image description here

由於MRSETDIBITSTODEVICE::bCheckRecord實現了對EMRSETDIBITSTODEVICE結構的合法性檢查。函式如下。

enter image description here

根據檢查的內容,對emf檔案進行修改,使其滿足MRSETDIBITSTODEVICE::bCheckRecord檢查的各項條件,同時使v4->cbBmiSrc小於(6*4),最終得到如下檔案內容。

enter image description here

用mspaint.exe載入emf檔案,透過windbg可以觀察到所有的檢查都被繞過,同時LocalAlloc分配的記憶體大小為2。

enter image description here

之後的((_DWORD *)v8 + 2) = v9與((_DWORD *)v8 + 5) = v4->cbBitsSrc都將實現緩衝區越界寫入操作。

如果可以透過指令碼在瀏覽器上顯示emf檔案,則有可能利用該漏洞實現遠端程式碼執行。另外值得一提的是補丁中修補的其他如MF16_*的函式,這些函式的呼叫點都存在如下的程式碼段。這是對HDC的型別進行驗證,只有型別是0x660000時,才會執行這些函式,而我只在呼叫CreateMetaFile後才得到了型別是0x660000的HDC,螢幕上顯示時使用的HDC型別為0x10000。當HDC型別是0x660000時,呼叫PlayEnhMetaFile,最終不會執行PlayEnhMetaFileRecord。

enter image description here

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章