Zero day в Microsoft Word?

Question

[dimakovalenko]

Ситуация


Три дня назад на seclab.ru появилось сообщение о zero day в Microsoft Word. Если пройти по ссылке на описание уязвимости, то можно найти PoC.

Вопрос


У кого-то этот PoC выполнил какой-то произвольный код? Спрашиваю потому что единственное чего я могу добиться — это стабильный STATUS_STACK_OVERFLOW (0xc00000fd ). Инструкция test [eax], eax из-за ошибки в программе лезет за границы буфера и приложение падает. И это всё. В момент падения приложения структура стека не нарушена, стековые фреймы целые… Я что-то пока не вижу как это всё может привести к выполнению произвольного кода. Я плохо смотрел?


Заранее спасибо за ответы :)

Answer 1

[egorinsk]

Часто в публикуемые эксплойты вносятся намеренные ошибки с целью сделать их недоступными для скрипт-киддис. Может, это тот самый случай?

Comments

[dimakovalenko]

Неприятно ощущать себя скрипт-кидди конечно, но может вы и правы :) Однако даже в этом случае PoC демонстрирует ошибку в программе которую можно проэксплуатировать (другое дело что PoC её или не эксплуатирует, или эксплуатирует криво, что бы те самые кидди не взяли и не заюзали as is). Здесь же PoC демонстрирует ошибку, которую по моему нельзя проэксплуатировать в смысле выполнения кода вообще. Но может конечно я просто туплю и не вижу очевидных вещей.

[dimakovalenko]

* Однако в любом случае PoC обычно демонстрирует ошибку в программе которую можно проэксплуатировать
Сорри, не так напечатал.

Answer 2

[dimakovalenko]

Мммм… по-моему я нашел за что зацепиться. Похоже автор PoC любит многоуровневые загадки :)

Comments

[dimakovalenko]

Упс… ответил сам себе

[dimakovalenko]

Ну раз я уже тут отвечаю сам себе… исключение происходит в _chkstk routine, вызов которой вставляется компилятором C когда нужно объявить локальную переменную больше 4Кб (8Кб в 64-битных системах):

_chkstk (wwlib+0x4571):
	push    ecx							
	lea     ecx,[esp+4]					
	sub     ecx,eax						
	sbb     eax,eax						
	not     eax	 						
	and     ecx,eax						

	mov     eax,esp						
	and     eax,0FFFFF000h				
										

.loop (wwlib+0x4585):					
	cmp     ecx,eax						
	jae     .leave_loop (wwlib+0x4592)
	sub     eax,1000h					
	test    dword ptr [eax],eax			
	jmp     .loop (wwlib+0x4585)		

.leave_loop (wwlib+0x4592):
	mov     eax,ecx						
	pop     ecx							
	xchg    eax,esp						
	mov     eax,dword ptr [eax]			
	mov     dword ptr [esp],eax			
	ret

В данном случае некая функция по адресу wwlib!GetAllocCounters+0x5992f хочет 5110h места на стеке, и в результате работы _chkstk routine мы получаем Stack overflow - code c00000fd вследствие исчерпания стека. Такие ошибки в комбинации с другими недочетами в коде при некоторых условиях действительно могут быть использовано для выполнения произвольного кода, но «надо что бы сошлись планеты». Копаю дальше.

[dimakovalenko]

Закрывая тему: тут seclists.org/fulldisclosure/2012/Oct/170 дискуссия, в которой судя по всему участвует и исследователь который нашел уязвимость, coolkaveh. Народ склоняется к мнению что это исчерпание стека, просто resource exhaustion. Я с народом согласен, потому что тоже не вижу где тут выполнение кода. Или мы все плохо смотрим, или securitylab.ru — тупые копипастеры.