Macrovision SafeDisc SecDRV.SYS驱动本地权限提升漏洞(MS07-067)

漏洞信息详情

Macrovision SafeDisc SecDRV.SYS驱动本地权限提升漏洞(MS07-067)

• CNNVD编号：CNNVD-200710-413
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-5587
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2007-10-19
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2007-10-22
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Elia Florio※ elia_…

Macrovision的Safedisc是目前最常用在商业数据光盘上的防拷机制。

Safedisc的secdrv.sys实现上存在漏洞，本地攻击者可能利用此漏洞控制系统。

Safedisc所提供的secdrv.sys驱动中的以下代码段：

.text：00015E2C cmp [ebp+var_10], 0CA002813h

.text：00015E33 jz short loc_15E69

IOCTL为METHOD_NEITHER，该驱动没有正确地处理这个方式：

.text：00015ED9 call dword ptr [eax+10h] ; Internal

Dispatcher

.text：00015EDC mov [ebp+var_1C], eax

.text：00015EDF cmp [ebp+var_1C], 0Ah

.text：00015EE3 jz short loc_15EFC

.text：00015EE5 mov eax, [ebp+arg_4]

.text：00015EE8 mov dword ptr [eax], 0C0000001h

.text：00015EEE mov eax, [ebp+arg_4]

.text：00015EF1 and dword ptr [eax+4], 0

.text：00015EF5 mov eax, 0C0000001h

.text：00015EFA jmp short loc_15F21

.text：00015EFC ;

—————————————————————————

.text：00015EFC

.text：00015EFC loc_15EFC： ; CODE XREF：

sub_15E12+D1j

.text：00015EFC mov ecx, [ebp+var_4]

.text：00015EFF mov esi, [ebp+var_C]

.text：00015F02 mov eax, [ebp+arg_0]

.text：00015F05 mov edi, [eax+3Ch] ; Output Buffer

(Irp-＞UserBuffer)

.text：00015F08 mov eax, ecx ; Inline memcpy

.text：00015F0A shr ecx, 2

.text：00015F0D rep movsd

.text：00015F0F mov ecx, eax

.text：00015F11 and ecx, 3

.text：00015F14 rep movsb

没有正确地检查用户提供的缓冲区便将输入缓冲区的前4个DWORD拷贝到了输出缓冲区，因此可以覆盖任意地址，甚至内核地址。利用这个漏洞的限制是InputBuffer必须为固定的值。本地攻击者可以利用这个漏洞在Windows平台上获得系统级权限。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Microsoft已经为此发布了一个安全公告(MS07-067)以及相应补丁:

MS07-067：Vulnerability in Macrovision Driver Could Allow Local Elevation of Privilege (944653)

链接：

http://www.microsoft.com/technet/security/Bulletin/MS07-067.mspx?pf=true

来源: US-CERT

名称: TA07-345A

链接:http://www.us-cert.gov/cas/techalerts/TA07-345A.html

来源: XF

名称: windows-secdrv-bo(37284)

链接:http://xforce.iss.net/xforce/xfdb/37284

来源: MISC

链接:http://www.symantec.com/enterprise/security_response/weblog/2007/10/privilege_escalation_exploit_i.html

来源: SECTRACK

名称: 1018833

链接:http://www.securitytracker.com/id?1018833

来源: BID

名称: 26121

链接:http://www.securityfocus.com/bid/26121

来源: BUGTRAQ

名称: 20071018 [CORRECTED] Microsoft Windows XP SP2/2003 – Macrovision SecDrv.sys privilege escalation (0day)

链接:http://www.securityfocus.com/archive/1/archive/1/482482/100/0/threaded

来源: BUGTRAQ

名称: 20071017 Microsoft Windows XP/2003 Macrovision SecDrv.sys privilege escalation (0day)

链接:http://www.securityfocus.com/archive/1/archive/1/482474/100/0/threaded

来源: MISC

链接:http://www.reversemode.com/index.php?option=com_mamblog&Itemid=15&task=show&action=view&id=43&Itemid=15

来源: MS

名称: MS07-067

链接:http://www.microsoft.com/technet/security/bulletin/ms07-067.mspx

来源: MSKB

名称: 944653

链接:http://www.microsoft.com/technet/security/advisory/944653.mspx

来源: VUPEN

名称: ADV-2007-3537

链接:http://www.frsirt.com/english/advisories/2007/3537

来源: SREASON

名称: 3266

链接:http://securityreason.com/securityalert/3266

来源: SECUNIA

名称: 27285

链接:http://secunia.com/advisories/27285

来源: OSVDB

名称: 41429

链接:http://osvdb.org/41429

来源: MISC

链接:http://blog.48bits.com/?p=172

来源: HP

名称: SSRT071506

链接:http://www.securityfocus.com/archive/1/archive/1/485268/100/0/threaded

来源: US Government

名称: oval:org.mitre.oval:def:4584

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:4584