Recientemente se informó de una vulnerabilidad 0-day en el kernel de Windows XP que estaba siendo explotada
activamente. Esta vulnerabilidad estaba siendo aprovechada utilizando
código malicioso dentro de un archivo PDF, que se apoyaba en otra
vulnerabilidad para comprometer el sistema.
Aprovechando que el otro día estuvimos viendo cómo utilizar peepdf para analizar y extraer código JavaScript y shellcode de un archivo PDF malicioso, voy a describir en este artículo el análisis que realicé de este archivo con peepdf y otras herramientas utilizadas hasta extraer el exploit que está siendo utilizado en la última vulnerabilidad para Windows XP.
Análisis del PDF
Lo primero que hacemos es abrir el archivo PDF y analizar su estructura
offsets…
y la estructura de árbol
A partir de la información anterior vemos que hay código JavaScript en el objeto 3, que se ejecuta automáticamente cuando se abre el archivo. Veamos qué pinta tiene:
Se observa que, efectivamente se trata de código JavaScript
pero éste está ofuscado y, como veremos, nos va a costar descifrarlo un
poco. Si guardamos el código en una variable y aplicamos el comando js_beatufy, obtendremos un código un poco más legible:
La verdad es que sigue igual de ofuscado y con peepdf no se ha podido extraer más información sobre él. Ahora utilizaremos Firebug
para examinarlo aunque para poder mostrarlo correctamente vamos a hacer
unas pequeñas modificaciones, por lo que lo volcamos a un fichero y
seguimos con el análisis. La última línea de código parece una llamada a
una función dentro de otra llamada a la misma función donde se le pasa
ese código ininteligible, así que vamos a pasar ese código a la función
Q.$() y la almacenamos en una variable arg1. A continuación, pasamos
arg1 de nuevo a la misma función y la almacenamos en arg2. Esto lo
hacemos para detener el código en tiempo de ejecución y poder ver qué es
ese código desofuscado.
Abrimos el código con Firebug e insertamos un breakpoint en la última llamada y vemos el valor del código resultante:
El código, ahora sí, es legible y bastante explícito, ya que comienza definiendo una variable llamada “shellcode”. Además de la definición del shellcode, comprueba la versión de Adobe Reader (versiones 9, 10 u 11) para añadir el ROP adecuado para cada versión.
Posteriormente llama a la función heapSpray para, como su nombre indica, inyectar el shellcode en la memoria.
Finalmente llama a la función addToolButton de Adobe:
Buscando información sobre esta función, vemos que existe una
vulnerabilidad en algunas versiones de Adobe Reader donde dichas
funciones podrían ser aprovechadas para ejecutar código (ver CVE-2013-3346).
Aprovechando esa vulnerabilidad se consigue ejecutar el shellcode descrito en este código así que pasamos a examinar qué hace este shellcode.
Análisis con scdbg
Cargamos el código en scdbg y lo ejecutamos. Observamos que crea un
archivo SHELLC~1.drop_0 y se queda a la espera, buscando un descriptor
de archivo (esto ocurre porque intenta leer un archivo que no existe).
Pensamos que el archivo que podría estar buscando es el propio PDF, desde el que el exploit está siendo ejecutado, así que vamos a indicarle la ruta del archivo que tiene que abrir con el parámetro fopen, que devuelve como descriptor de fichero el archivo indicado.
Ahora vemos que deja otro archivo en la misma ubicación con el nombre
SHELLC~1.drop_1 e intenta ejectuar otro archivo creado en C:Documents
and SettingsAdministradorConfiguración localTemp con el nombre 4.tmp
(en este caso). Este último está vacío por lo que entiendo que el que
trata de ejecutar es SHELLC~1.drop_1 así que vamos a abrirlo para ver
qué contiene y vemos que se trata de un ejecutable.
Este último archivo descargado es el exploit que aprovecharía la vulnerabilidad CVE/2013-5065. A partir de este punto tendríamos que analizarlo para ver cómo aprovecha la vulnerabilidad y qué trata de realizar.
Hay más información sobre el análisis de este archivo en los siguientes enlaces:
http://www.fireeye.com/blog/technical/cyber-exploits/2013/12/cve-2013-33465065-technical-analysis.html
http://www.invincea.com/2013/12/e-k-i-a-adobe-reader-exploit-cve-2013-3346-kernel-ndproxy-sys-zero-day-eop/
http://labs.portcullis.co.uk/blog/cve-2013-5065-ndproxy-array-indexing-error-unpatched-vulnerability/
Autor Nelo Belda
Fuente http://www.securityartwork.es
