熊猫卫士2008 CPoint.sys内存破坏漏洞

BUGTRAQ ID: 28150 熊猫卫士是熊猫系列杀毒软件，支持对多种文件格式进行病毒分析。 多个熊猫系列杀毒软件所捆绑的cpoint.sys内核驱动中处理IOCTL请求的代码存在漏洞，本地攻击者可能利用此漏洞提升权限。 该驱动的0xba002848 IOCTL调用未经充分验证便接受了用户提供的输入，导致越界写入内核内存。 cpoint.sys的反汇编（Windows Vista 32位版）： [...] .text:00012633 loc_12633: .text:00012633 mov edx, 0BA002848h &lt;-- (1) .text:00012638 cmp ecx, edx .text:0001263A ja loc_12946 [...] .text:00012640 jz loc_128BE [...] .text:000128BE loc_128BE: .text:000128BE cmp [ebp+IOCTL_INPUT_SIZE], 1008h &lt;-- (2) .text:000128C5 jb loc_12A7D [...] .text:000128CB mov esi, [ebp+IOCTL_INPUT_DATA] &lt;-- (3) .text:000128CE cmp dword ptr [esi], 3F256B9Ah &lt;-- (4) .text:000128D4 jnz loc_12A7D [...] .text:000128FF xor eax, eax .text:00012901 cmp [esi+8], eax &lt;-- (5) .text:00012904 jbe short loc_1291B [...] (1) 有漏洞的IOCTL调用 (2) IOCTL输入大小检查 (3) 用户提供的数据拷贝到了esi (4) + (5) 次要的输入数据检查 从这时其有两条不同的漏洞代码路径，如下所述： 漏洞代码路径1： [...] .text:00012906 lea ecx, [esi+0Ch] &lt;-- (6) [...] .text:00012909 loc_12909: .text:00012909 mov edx, [ecx] &lt;-- (7) .text:0001290B mov OVERWRITTEN_DATA[eax*4], edx &lt;-- (8) .text:00012912 inc eax .text:00012913 add ecx, 4 .text:00012916 cmp eax, [esi+8] &lt;-- (9) .text:00012919 jb short loc_12909 [...] (6) 一些用户控制的数据拷贝到了ecx (7) 用户控制数据拷贝到了edx (8) 在OVERWRITTEN_DATA内存位置拷贝用户控制数据 (9) 用户可控拷贝数据大小 这可能导致越界写入内核内存。 漏洞代码路径2： [...] .text:0001291B loc_1291B: .text:0001291B xor eax, eax .text:0001291D cmp [esi+10Ch], eax &lt;-- (10) .text:00012923 jbe loc_129B4 [...] .text:00012929 lea ecx, [esi+110h] &lt;-- (11) [...] .text:0001292F loc_1292F: .text:0001292F mov edx, [ecx] &lt;-- (12) .text:00012931 mov OVERWRITTEN_DATA2[eax*4], edx &lt;-- (13) .text:00012938 inc eax .text:00012939 add ecx, 4 .text:0001293C cmp eax, [esi+10Ch] &lt;-- (14) .text:00012942 jb short loc_1292F [...] (10) 用户控制数据的次要检查 (11) 一些用户控制的数据拷贝到了ecx (12) 用户控制数据拷贝到了edx (13) 在OVERWRITTEN_DATA2内存位置拷贝用户控制的数据 (14) 用户可控拷贝数据的大小 这可能导致越界写入内核内存。 上述两种情况都可以将任意数量的用户控制数据写入到内核内存。由于所覆盖的数据属于cpoint.sys内核驱动的数据部分，因此可以控制临近的数据结构（如某些KEVENT结构）。如果用特制的内存覆盖这些结构，就可以强制内核执行内存破坏，导致完全控制内核执行流。 Panda Internet Security 2008 Panda Antivirus+Firewall 2008 Panda ----- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.pandasecurity.com/resources/sop/PAVF08/hft70801s1.exe target=_blank>http://www.pandasecurity.com/resources/sop/PAVF08/hft70801s1.exe</a> <a href=http://www.pandasecurity.com/resources/sop/Platinum2008/hfp120801s1.exe target=_blank>http://www.pandasecurity.com/resources/sop/Platinum2008/hfp120801s1.exe</a>