スライド 1

Size: px

Start display at page:

Download "スライド 1"

ふみなきちや
4 years ago
Views:

1 Monthly Research 固定アドレスのポインタによる ASLR バイパスの理解株式会社 FFRI Ver

2 MS マイクロソフトが 2013 年 8 月に公開したセキュリティパッチ ASLR セキュリティ機能のバイパスの脆弱性 (CVE ) の対策を含む今回はこの脆弱性の問題点とパッチによる変更点を調査 2

3 ASLR バイパスの脆弱性 (CVE ) 概要 CanSecWest2013で発表された脆弱性この脆弱性だけで攻撃が成立するわけではない ( 他の脆弱性と組み合わせる ) この問題により特定の脆弱性があった場合に ASLRをバイパスして攻撃可能 3

4 CanSecWest2013 での発表内容この脆弱性は DEP/ASLR bypass without ROP/JIT というタイトルで CanSecWest2013 にて Yang Yu 氏により発表された大きく二つの問題について発表 32bit 版 Windows にて KiFastSystemCall へのポインタが固定アドレスに存在する 64bit 版 Windows 上の 32bit プロセスにて LdrHotPatchRoutine へのポインタが固定アドレスに存在するなぜこれらの固定アドレスが問題なのか Use-after-free またはヒープオーバーフローにより C++ オブジェクトの vtable ポインタの書き換えが起きる場合に ASLR をバイパスして攻撃可能 vtable ポインタが書き換えられるとは? 4

へのポインタ dowork() へのポインタメンバ関数の呼び出し方 // dowork() を呼び出す場合のコード // ecx に MyClass オブジェクトのアドレスがセットされている mov eax,dword ptr [ecx] // eax に

5 前提知識 :C++ のオブジェクトレイアウト一般的な C++ の実装によるオブジェクトのレイアウト // メンバ関数が virtual であることに注意 class MyClass { public: MyClass(); virtual ~MyClass(); virtual void dowork(); private: int m_myvariable; }; インスタンス化 MyClass オブジェクト vtable へのポインタ m_myvariable MyClass クラスの vtable ~MyClass() へのポインタ dowork() へのポインタメンバ関数の呼び出し方 // dowork() を呼び出す場合のコード // ecx に MyClass オブジェクトのアドレスがセットされている mov eax,dword ptr [ecx] // eax に vtable のアドレス push ecx // 関数呼び出しの引数 (*) call dword ptr [eax+4] // dowork() 呼び出し (vtable よりアドレス取得 ) * 呼び出し規約が cdecl の場合第一引数に this ポインタを渡す 5

dowork() へのポインタメモリ上のどこか別の場所 Value in memory 1 Value in memory 2?

6 6 vtable の書き換えの問題オブジェクトの vtable へのポインタが書き換わるとどうなるか? 書き換える MyClass オブジェクト vtable へのポインタ m_myvariable MyClass クラスの vtable ~MyClass() へのポインタ dowork() へのポインタメモリ上のどこか別の場所 Value in memory 1 Value in memory 2??? // 前スライドと同じコード //vtableへのポインタを書き換えると実行される関数が変わる mov eax,dword ptr [ecx] // eaxにvtableのアドレス push ecx // 関数呼び出しの引数 call dword ptr [eax+4] // Value in memory 2が指す場所を実行する

7 7 固定アドレスに KiFastSystemCall へのポインタがある場合オブジェクトのvtableの位置をKiFastSystemCallを呼び出すように上書き KiFastSystemCallはWindowsが利用するシステムコール呼び出しの共通コード ASLRは特に意味をなさない脆弱性 (use-after-free / heap overflow) を利用し固定値で書き換える MyClass オブジェクト vtable へのポインタ m_myvariable MyClassクラスのvtable ~MyClass() へのポインタ dowork() へのポインタ Fixed address Value in memory 1 KiFastSystemCallへのポインタ mov eax,dword ptr [ecx] // eaxにvtableのアドレス push ecx // KiFastSystemCallの引数 call dword ptr [eax+4] // KiFastSystemCallを呼び出す KiFastSystemCall KiFastSystemCall が呼び出されるただし引数を取るシステムコールを攻撃者が意図したとおりに呼び出すのは難しい

8 LdrHotPatchRoutine の利用 64bit Windows には KiFastSystemCall へのポインタが固定位置に存在しないただし 64bit Windows 上の 32bit プロセスには LdrHotPatchRoutine へのポインタが固定位置に存在する LdrHotPatchRoutine は内部で引数に渡された DLL をロードする

8 8 LdrHotPatchRoutine の利用 64bit Windows には KiFastSystemCall へのポインタが固定位置に存在しないただし 64bit Windows 上の 32bit プロセスには LdrHotPatchRoutine へのポインタが固定位置に存在する LdrHotPatchRoutine は内部で引数に渡された DLL をロードする LdrHotPatchRoutineへのポインタはSharedUserData 内のデータとしてすべての64bit Windows 上の 32bitプロセスプロセスに存在 SharedUserDataは固定アドレス (0x7ffe0000) に存在 0x7ffe0000 ( 固定アドレス ) struct HotPatchBuffer{ USHORT PatcherNameOffset; // ロードするDLL 名へのオフセット USHORT PatcherNameLen; // ロードするDLL 名の長さ }; void LdrHotPatchRoutine( struct *HotPatchBuffer); SharedUserData LdrHotPatchRoutine へのポインタ LdrHotPatchRoutine LdrHotPatchRoutine へのポインタを vtable が含むように C++ オブジェクトを上書き DLL のロードが可能

9 9 固定アドレスに LdrHotPatchRoutine へのポインタがある場合オブジェクトの vtable の位置を LdrHotPatchRoutine を呼び出すように上書き脆弱性を利用し書き換える MyClass オブジェクト vtable へのポインタこの部分を HotPatchBuffer 構造体として構築 MyClassクラスのvtable ~MyClass() へのポインタ dowork() へのポインタ Fixed address Value in memory 1 LdrHotPatchRoutineへのポインタ LdrHotPatchRoutine mov eax,dword ptr [ecx] // ecxにvtableのアドレス push ecx // オブジェクトアドレスをLdrHotPatchRoutineの引数とする call dword ptr [eax+4] // LdrHotPatchRoutineを呼び出す LdrHotPatchRoutine への引数 (DLL 名など ) を share hoge.dll などとすることでサーバー上の DLL をロード可能オブジェクトは vtable へのポインタの書き換え時に任意の値に上書き可能であることに注意

MS13-063 による変更点 MS13-063 では LdrHotPatchRoutine のアドレスが固定アドレスに保存されないように修正 SharedUserData 内から関数テーブルを削除 ntdll.

10 MS による変更点 MS では LdrHotPatchRoutine のアドレスが固定アドレスに保存されないように修正 SharedUserData 内から関数テーブルを削除 ntdll.dll のデータセクションに移し LdrSystemDllInitBlock としてエクスポートランダマイズ LdrHotPatchRoutine へのポインタ ntdll.dll は ASLR が有効なモジュールであるためこの関数テーブルもアドレスが固定されない ASLR をバイパスし LdrHotPatchRoutine を利用した DLL のロードはできない 10

11 参考資料 ASLR%20bypass%20without%20ROP-JIT.pdf g-the-ldrhotpatchroutine-dep-aslr-bypass-with-ms aspx

12 Contact Information research-feedback@ffri.jp Twitter 12

Intel Memory Protection Extensions(Intel MPX) x86, x CPU skylake 2015 Intel Software Development Emulator 本資料に登場する Intel は Intel Corp. の登録

Monthly Research Intel Memory Protection Extensions http://www.ffri.jp Ver 1.00.01 1 Intel Memory Protection Extensions(Intel MPX) x86, x86-64 2015 2 CPU skylake 2015 Intel Software Development Emulator