Zi 字媒體

早前我寫了一篇文章講述Flash沙盒逃逸漏洞最終導致Flash Player使用了十年之久的本地安全沙盒項目破產。從之前爆出的這個漏洞就可以看出輸入驗證的重要性，靠著Flash運行時混合UNC以及文件URI就足夠提取本地數據，之後獲取Windows用戶憑證傳輸給遠端SMB伺服器。Flash Player 23開始使用local-with-filesystem沙盒，有效的解決了本地存在的這兩個問題。然而有趣的是在發行說明中卻忽略了local-with-networking以及remote這兩個沙盒，實在讓我懷疑官方是否有用心在修補漏洞。事實上，最初的測試顯示Flash拒絕所有的UNC或者文件風格的路徑，就連沙盒似乎都不接受非HTTP URL。反過來思考這個問題，是不是我們只要先通過了輸入驗證就可以隨意修改輸入表達式了？本文所述漏洞已向Adobe報告(APSB17-23)，分配的CVE為CVE-2017-3085.再次重申利用之前那個漏洞的關鍵，在於我們的惡意Flash應用能連接到SMB伺服器。不經過身份驗證直接讓服務端拒絕我們的訪問，之後服務端觸發漏洞獲得Windows用戶憑證。Adobe似乎有意識到這種攻擊向量的存在。Flash之前的版本都可以從任意SMB服務端載入資源，23版本之後就開始拒絕所有的UNC及文件風格路徑（兩種用於引用SMB主機的方案），例如\10.0.0.1\some\file.txt以及file://///10.0.0.1/some/file.txt，兩者等效且被拒絕訪問。不幸的是本想採用微軟的URI列表來構造生成我們想要的URL，然而最終的結果讓人不太滿意。沙盒及URLLoader都不接受前綴非HTTP或者HTTPS的路徑，似乎是Adobe通過切換到白名單方法來進行加強。現在我們是否能在通過輸入驗證之後更改請求路徑？雖然HTTP的使用被限制了，但我們可以轉而利用HTTP的重定向去訪問SMB主機。HTTP與SMB的這個組合雖然不常見，但並非不能組合。根據這個思路，我立馬聯想到知名的Redirect-to-SMB漏洞。通過設置HTTP的Location頭信息以及一個恰當的響應代碼(例如301，302)，就可以利用該漏洞將HTTP請求重定向到一個惡意SMB伺服器漏洞利用在我們的攻擊場景中，惡意Flash應用以及SMB服務都運行在IP地址為23.100.122.2的機器上。該Flash應用運行在目標本地機器上的remote沙盒，也就是說運行時禁止本地文件系統訪問，但允許遠程連接。追溯Win32 API發現受Redirect-to-SMB影響的函數駐留在urlmon.dll，因此使用該Flash的IE及其他第三方應用都是存在威脅的。嘗試重定向到一個出站請求GET /somefile.txt：Code #2032是Flash對Stream Error的代號，此外#2048可能表明成功，使用Wireshark看看到底發生了什麼：我們的HTTP/1.1 302響應沒有觸發SMB通信，可是請注意這裡有一個對crossdomain.xml的GET請求,被稱為跨域策略文件，如果沒有明確允許domain-b.com，託管在domain-a.com的Flash應用運行時就不會從該域載入資源。細心的讀者可能注意到Adobe的定義與HTTP CORS(參考RFC6454)不同，限制了其本身的跨域數據處理。具體來說它沒有去考慮其他不同的協議，因此該安全機制與我們的攻擊沒有任何交集：我們嘗試重定向到SMB，相同主機上的不同協議。然而有趣的是，通過Wireshark獲取的信息表明：crossdomain.xml請求的地址與我們Flash應用的地址相同。採用Adobe開發指南中的語法構造一個限制最小的跨域策略：<cross-domain-policy <site-controlpermitted-cross-domain-policies="all"/> <allow-access-fromdomain="*"secure="false"/> <allow-http-request-headers-fromdomain="*"headers="*"secure="false"/>cross-domain-policy重新載入Flash應用，繼續觀察：成功建立目標機器(23.100.122.3)與我們的遠程伺服器(23.100.122.2)之間的SMB連接。至此我們便可以重複之前的操作。使用一個Python腳本調用SMBTrap對惡意SMB伺服器進行操作，之後通過傳入的請求捕獲目標的用戶憑證：總結有趣的是與之前的漏洞相比較，這次Edge與Chrome（開啟Flash）都不受影響，似乎這兩個瀏覽器都對Flash連接SMB主機已經有了防護機制。Firefox及Internet Explorer受該漏洞影響，當前版本的Microsoft Office同樣適用。除此之外，該漏洞還影響到remote 和 local-with-networking兩個沙盒。Flash Player 26.0.0.151已修復該漏洞，用戶可通過Windows Update以及Adobe官網進行下載更新。附錄受影響主機環境Firefox Internet Explorer Microsoft Office 2010, 2013and2016受影響平台FlashPlayer 23.0.0.162to 26.0.0.137WindowsXP, Vista, 7, 8.xand 10參考文獻Adobe Security Bulletin APSB17-23CVE-2017-3085ZDI-17-634Threatpost – Patched Flash Player Sandbox Escape Leaked Windows CredentialsSC Magazine UK – Recently patched Flash Player sandbox leaks Windows credentialsBleepingComputer – Recently Patched Flash Bug Can Leak Windows CredentialsSecurity.NL (Dutch) – Radboud-student ontdekt opnieuw lek in Adobe Flash PlayerSecNews (Greek) – Flash Player μετά την ενημέρωση: ευπάθεια και πάλιComputerBild (German) – Adobe Patchday: Updates gegen über 80 SicherheitslückenSecurityWeek – Adobe Patches 69 Flaws in Flash, Reader, AcrobatSecurityTracker – Adobe Flash Player Bugs Let Remote Users Obtain Potentially Sensitive Information and Execute Arbitrary Code參考來源：bjornweb，freebuf小編鳶尾編譯，轉載請註明來自FreeBuf.com