原文地址:http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Adobe-s-CVE-2015-5090-Updating-the-Updater-to-become-the-bossman/ba-p/6765412
2015年7月,Adobe修補了多個漏洞,其中CVE-2015-5090格外顯眼,值得深究。但是,Adobe對于這些漏洞只是根據威脅程度進行了排名,并沒有給出詳情。事實上,攻擊者可以利用這個bug以系統權限用來執行代碼,即攻擊者能夠完全接管目標機器。因為這個漏洞影響的是Adobe的更新服務,也就是說,該漏洞同時存在于Adobe Reader和Acrobat Pro軟件中。這兩個程序都會安裝ARMSvc服務(更新程序),并且都把 AdobeARM.exe/AdobeARMHelper.exe存放在c:\progra~1\common~1\Adobe\ARM\1.0目錄下面。
我們這里的漏洞利用方法是針對acrobat.exe的,不過,稍作修改也是可以用于Reader的。下面的視頻,為大家演示了這個漏洞的利用過程。
ARMSvc.exe支持多個由IDA中的HandlerProc函數定義的用戶控件:
圖1 Handler函數
UserControls的內部代碼:
圖2 控件
對于該漏洞利用來說,我們主要感興趣的地方在于:
170——創建一段共享內存。
179——執行ELEVATE,而ELEVATE又會使用共享內存中的參數來執行AdobeARMHelper.exe。
用戶控件170的問題在于它創建了一個帶有弱權限的共享內存段。 由于任何用戶都能讀寫該共享內存段,這就意味著,攻擊者能夠控制傳遞給AdobeARMHelper.exe程序的參數。
通過觀察AdobeARMHelper.exe,我們發現了例程sub_42A260,這個例程可用來尋找給定目錄下面的第一個文件。之后,它會檢查該文件是否帶有Adobe的簽名,如果是的話,sub_42A260就會把這個文件復制到AdobeARM.exe程序所在的目錄下面。
圖3 簽名校驗
如果簽名校驗失敗,該例程將退出:
圖4 簽名校驗失敗
如果通過了簽名校驗,該例程就會拷貝該文件:
圖5 簽名校驗成功
該函數沒有考慮到以下幾點:
函數DOES會進行下列檢查:
我們能夠做什么:
AdobeARMHelper/AdobeARM的參數。我們需要做什么:
策略:
為了利用這個bug,我們可以用具有Adobe簽名的代碼來覆蓋AdobeARM.exe,并通過這些代碼做一些有趣的事情。
例如,arh.exe是Adobe AIR的安裝包裝器。理論上,我們可以用arh.exe覆蓋AdobeARM.exe,這是完全允許的,因為它也有Adobe的簽名。之后,我們就可以通過arh.exe安裝任意的AIR應用程序了。這個策略唯一的問題在于,arh.exe不允許向其傳遞參數,所以,我們無法直接通過SM向其傳遞參數。
最好的策略是,利用某個可以向其傳遞額外參數的、帶有簽名的二進制代碼來覆蓋AdobeARM.exe。利用方法:
如果我們仔細考察Acrobat Pro就會注意到,它含有一個名為AcrobatLauncher.exe的二進制程序,該程序允許通過指定的PDF文件來啟動Acrobat.exe。AcrobatLauncher.exe是個好東西,因為它只會忽略額外的參數,并且既不支聲,也不會退出。 具體的命令行參數為 AcrobatLauncher.exe -open PDF_FILE。
c:\progra~1\common~1\Adobe\ARM\1.0\AdobeARM.exe。這基本上把更新程序覆蓋掉了。c:\progra~1\common~1\Adobe\ARM\1.0目錄下。這是通過我們的一種JavaScript旁路技術完成的。 從中可以看出,CVE-2015-5090為攻擊者提供了一種非常可靠的方法使其可以系統權限運行代碼。所以,如果你正在使用Adobe Reader 或Acrobat Pro的話,務必給這個漏洞打上補丁。此外,如果你想了解第5步中的JavaScript旁路技術的更多詳情的話,請關注我們即將到來的Defcon演講。我們拉斯維加斯見!