CVE-2017-3085：Adobe Flash泄漏Windows用戶憑證

早前我寫了一篇文章講述Flash沙盒逃逸漏洞最終導致Flash Player使用了十年之久的本地安全沙盒項目破產。

從之前爆出的這個漏洞就可以看出輸入驗證的重要性，靠著Flash運行時混合UNC以及文件URI就足夠提取本地數據，之後獲取Windows用戶憑證傳輸給遠端SMB伺服器。

Flash Player 23開始使用local-with-filesystem沙盒，有效的解決了本地存在的這兩個問題。然而有趣的是在發行說明中卻忽略了local-with-networking以及remote這兩個沙盒，實在讓我懷疑官方是否有用心在修補漏洞。

事實上，最初的測試顯示Flash拒絕所有的UNC或者文件風格的路徑，就連沙盒似乎都不接受非HTTP URL。反過來思考這個問題，是不是我們只要先通過了輸入驗證就可以隨意修改輸入表達式了？

本文所述漏洞已向Adobe報告(APSB17-23)，分配的CVE為CVE-2017-3085.

HTTP重定向

再次重申利用之前那個漏洞的關鍵，在於我們的惡意Flash應用能連接到SMB伺服器。不經過身份驗證直接讓服務端拒絕我們的訪問，之後服務端觸發漏洞獲得Windows用戶憑證。

Adobe似乎有意識到這種攻擊向量的存在。Flash之前的版本都可以從任意SMB服務端載入資源，23版本之後就開始拒絕所有的UNC及文件風格路徑（兩種用於引用SMB主機的方案），例如10.0.0.1somefile.txt以及file://///10.0.0.1/some/file.txt，兩者等效且被拒絕訪問。

不幸的是本想採用微軟的URI列表來構造生成我們想要的URL，然而最終的結果讓人不太滿意。沙盒及URLLoader都不接受前綴非HTTP或者HTTPS的路徑，似乎是Adobe通過切換到白名單方法來進行加強。

現在我們是否能在通過輸入驗證之後更改請求路徑？雖然HTTP的使用被限制了，但我們可以轉而利用HTTP的重定向去訪問SMB主機。

HTTP與SMB的這個組合雖然不常見，但並非不能組合。根據這個思路，我立馬聯想到知名的Redirect-to-SMB漏洞。通過設置HTTP的Location頭信息以及一個恰當的響應代碼(例如301，302)，就可以利用該漏洞將HTTP請求重定向到一個惡意SMB伺服器

漏洞利用

在我們的攻擊場景中，惡意Flash應用以及SMB服務都運行在IP地址為23.100.122.2的機器上。該Flash應用運行在目標本地機器上的remote沙盒，也就是說運行時禁止本地文件系統訪問，但允許遠程連接。

追溯Win32 API發現受Redirect-to-SMB影響的函數駐留在urlmon.dll，因此使用該Flash的IE及其他第三方應用都是存在威脅的。

嘗試重定向到一個出站請求GET /somefile.txt：

Code #2032是Flash對Stream Error的代號，此外#2048可能表明成功，使用Wireshark看看到底發生了什麼：

我們的HTTP/1.1 302響應沒有觸發SMB通信，可是請注意這裡有一個對crossdomain.xml的GET請求,被稱為跨域策略文件，如果沒有明確允許domain-b.com，託管在domain-a.com的Flash應用運行時就不會從該域載入資源。

細心的讀者可能注意到Adobe的定義與HTTP CORS(參考RFC6454)不同，限制了其本身的跨域數據處理。具體來說它沒有去考慮其他不同的協議，因此該安全機制與我們的攻擊沒有任何交集：我們嘗試重定向到SMB，相同主機上的不同協議。

然而有趣的是，通過Wireshark獲取的信息表明：crossdomain.xml請求的地址與我們Flash應用的地址相同。採用Adobe開發指南中的語法構造一個限制最小的跨域策略：

<?xml version="1.0"?>

<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">

<

cross-domain-policy

<

site-control

permitted-cross-domain-policies

"all"

<

allow-access-from

domain

"*"

secure

"false"

<

allow-http-request-headers-from

domain

"*"

headers

"*"

secure

"false"

/>

</

cross-domain-policy

重新載入Flash應用，繼續觀察：

成功建立目標機器(23.100.122.3)與我們的遠程伺服器(23.100.122.2)之間的SMB連接。至此我們便可以重複之前的操作。使用一個Python腳本調用SMBTrap對惡意SMB伺服器進行操作，之後通過傳入的請求捕獲目標的用戶憑證：

總結

有趣的是與之前的漏洞相比較，這次Edge與Chrome（開啟Flash）都不受影響，似乎這兩個瀏覽器都對Flash連接SMB主機已經有了防護機制。Firefox及Internet Explorer受該漏洞影響，當前版本的Microsoft Office同樣適用。除此之外，該漏洞還影響到remote 和 local-with-networking兩個沙盒。

Flash Player 26.0.0.151已修復該漏洞，用戶可通過Windows Update以及Adobe官網進行下載更新。

附錄

受影響主機環境

Firefox
Internet Explorer
Microsoft Office

2010

2013

and

2016

受影響平台

Flash

Player

.0

.0

.162

to

.0

.0

.137

Windows

XP

Vista

.x

and

參考文獻

• 
  

  Adobe Security Bulletin APSB17-23



• 
  

  CVE-2017-3085



• 
  

  ZDI-17-634



• 
  

  Threatpost – Patched Flash Player Sandbox Escape Leaked Windows Credentials



• 
  

  SC Magazine UK – Recently patched Flash Player sandbox leaks Windows credentials



• 
  

  BleepingComputer – Recently Patched Flash Bug Can Leak Windows Credentials



• 
  

  Security.NL (Dutch) – Radboud-student ontdekt opnieuw lek in Adobe Flash Player



• 
  

  SecNews (Greek) – Flash Player μετ? την ενημ?ρωση: ευπ?θεια και π?λι



• 
  

  ComputerBild (German) – Adobe Patchday: Updates gegen über 80 Sicherheitslücken



• 
  

  SecurityWeek – Adobe Patches 69 Flaws in Flash, Reader, Acrobat



• 
  

  SecurityTracker – Adobe Flash Player Bugs Let Remote Users Obtain Potentially Sensitive Information and Execute Arbitrary Code

參考來源：bjornweb，freebuf小編鳶尾編譯，轉載請註明來自FreeBuf.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！