Hacking Team攻击代码分析Part 4: Flash 0day漏洞 CVE-2015-5122

author:360安全卫士

0x00 前言

前几天我们分析了Hacking Team泄露数据中的3个exploit,包括一个flash 0day,一个flash nday和一个windows字体提权0day。昨天Adobe在发布了最新的flash版本(18.0.0.203),修补了其中的flash 0day(CVE-2015-5119)。然而今天twitter上面又有研究者爆猛料,称Hacking Team泄露数据中还有一个未修补的flash 0day,在最新的flash版本中仍然可以触发。Adobe随后也发布了对应的安全公告APSA15-04,漏洞的CVE编号为:CVE-2015-5122。影响Windows、MacOSX和Linux平台上的IE、Chrome浏览器等主流浏览器。

我们经过分析,确认这确实又是一个新的flash 0day,漏洞成因是DisplayObject在设置opaqueBackground属性时,没有正确处理可能发生的回调(又是valueOf,是在下输了),而产生的Use After Free漏洞。本文将分析这个漏洞的成因和利用方式。

0x01 漏洞原理分析

出问题的函数是DisplayObject对象的opaqueBackground属性设置函数:

我们来看一下HackingTeam泄露的exploit代码,关键部分如下:

在这个过程中会每个TextLine Object内部会分配0x390大小的对象,对象分配的代码在:

调试过程中分配的0x390内部对象地址:

2 设置opaqueBackground,触发valueOf函数调用:

和之前两个漏洞一样,exploit定义了自己的类,设置valueOf函数,然后在opaqueBackground的设置函数中,我们可以看到有一个将传入的参数转换为integer的过程,这个调用触发了MyClass的valueOf函数:

3 在valueOf函数中,释放TextLine Object,并使用vector占位

我们可以看到valueOf函数通过调用recreateTextLine释放了原来的TextLine对象(因此0x390大小的内部对象也将被释放)。然后使用0x190大小的vector对象试图占用已经释放的0x390大小对象的内存。这里之所以选用0x190大小的vector,是因为之后代码会对已经释放的0x390内部对象进行一个写操作,这个写操作的偏移是0x320,正好是0x190的两倍,这样写的时候可以直接写到vector的长度字段。这里用了一个技巧:用不同大小的对象去占位时,必须以页为单位释放原对象的内存,才有可能成功(也就是说这里必须连续释放多个0x390大小的内部对象,造成至少一个page(0x1000)内存被释放,然后才能用0x190的vector去占它)。

4 从valueOf返回,已经释放的0x390内部对象被写入

Esi指向已经被释放的0x390大小对象(0x5d97020),可以参考前面分配时记录的对象地址,很容易看出这是其中一个0x390对象。写入的是esi+0x320处,可以看到已经被vector占用,并且指向某个vector的长度字段(0x62)。 写操作完成后,vector长度被篡改为0x6a:

之后exploit再利用这个稍微变长了一点点的vector,修改紧邻的下一个vector的长度为0x40000000:

0x02 漏洞防范

由于该漏洞利用非常稳定,而Adobe暂时没有发布该漏洞的补丁,我们建议补丁发布之前,可以暂时先禁用flash插件。

评论

安瑞熙2015-07-25 11:29:59

360 的感觉还是比较好点的

二狗子2015-07-13 10:26:26

建议安装360安全卫士