Анализ уязвимостей драйверов

Драйверы часто встречаются в

Антивирусах – доступ к файловой системе, перехват системных функций
Межсетевых

Взаимодействие

GUI

NTDLL.DLL

I/O manager

Driver

Kernel space

User space

Режим ядра

Пользовательский режим

NtDeviceIoControlFile

Kernel32.dll

DeviceIoControl

Функция DeviceIoControl

Параметры
hDevice – описатель устройства
dwIoControlCode - управляющий код ввода-вывода
lpInBuffer – указатель на

Информация закодированная в dwIoControlCode

Метод передачи данных – способ передачи входных данных
Идентификатор функции

Методы передачи входных данных

METHOD_BUFFERED
METHOD_IN_DIRECT
METHOD_OUT_DIRECT
METHOD_NEITHER

Метод: METHOD_BUFFERED

Проверка входных параметров функциями ProbeForRead, ProbeForWrite
I/O manager выделяет память в пространстве

Метод: METHOD_IN_DIRECT, METHOD_OUT_DIRECT

Проверка входных параметров функциями ProbeForWrite, ProbeForRead
I/O manager выделяет память в

Метод: METHOD_NEITHER

I/O manager передаёт указатели на данные без какой-либо проверки
Отсутствуют проверки ProbeForRead,

Функции ProbeForRead, ProbeForWrite

Параметры:
Address –указатель на буфер памяти пользовательского режима
Length – длина в

Обход функций ProbeForRead, ProbeForWrite

При длине равной нулю, не вызывает исключения, и не

Типичные уязвимости

METHOD_NEITHER
Arbitrary kernel memory write
NULL pointer dereference
METHOD_BUFFERED
Buffer overflows
NULL pointer dereference
METHOD_IN_DIRECT, METHOD_OUT_DIRECT
Buffer overflows
NULL

Методология поиска уязвимостей

Fuzzing тестирование без предварительной информации о коде драйвера
Fuzzing+мониторинг информация о

Fuzzing

Перебор входных параметров DeviceIoControl:
dwIoControlCode - DWORD
lpInBuffer – PVOID
nInBufferSize - DWORD
lpOutBuffer – PVOID
nOutBufferSize

Fuzzing

ioctl fuzzer

NTDLL.DLL

I/O manager

Driver

Kernel space

User space

Режим ядра

Пользовательский режим

#1 DeviceIoControl
#2 DeviceIoControl
#N DeviceIoControl

CreateFile
(\\.\device)

NtDeviceIoControlFile

Kernel32.dll

5 минут работы ioctl fuzzer’a

Fuzzing: Тестовые наборы

dwIoControlCode - полный перебор
lpInBuffer – NULL, invalid kernel space address
nInBufferSize

Fuzzing: Плюсы и минусы

Плюсы
Лёгкий в реализации(40 строк C кода)
Неплохие результаты
Минусы
Пропуск уязвимостей, зависящих

Fuzzing+мониторинг

Отслеживание прохода для определённого тестового набора данных(Code coverage)
Протоколирование состояний контекста(Data flow)
Протоколирование “падений”
Генерация

Windows Kernel

Fuzzing+мониторинг

ioctl fuzzer

Driver

#1 DeviceIoControl

Kernel Debugger

Plugin

1.Log
2.Log
N.log

Code coverage ,
Context state

N+1 testcase

Tracing

Kernel space

User space

#(N+1) DeviceIoControl

Fuzzing+мониторинг: Плюсы и минусы

Плюсы
Покрытие кода для конкретного тестового набора
Протоколирование найденной уязвимости
Минусы
Сложность реализации

Ручной анализ

Локализация IOCTL обработчика
Анализ обрабатываемых IOCTL значений
Формирование тестовых наборов
Анализ обработки входных значений

Human
brain

Kernel
Debugger

Windows

Ручной анализ: Плюсы и минусы

Плюсы
Нахождение наибольшего количества уязвимостей
Лучший в комбинации с fuzzing

Статистика протестированных продуктов

Всего в исследовании участвовали 40 продуктов: антивирусы, межсетевые экраны,

Количество обнаруженных уязвимостей

Полная
компрометация
системы

Отказ в
обслуживании

Сравнение методов поиска уязвимостей

Пути решения

IoCreateDeviceSecure – безопасное создание устройства(Microsoft, Dr. Web)
PsGetCurrentProcessId – проверка идентификатора процесса(Eset)
KeGetPreviousMode

Выводы

Тестирование драйверов в большинстве компаний не проводится
Большое количество уязвимостей, которые можно быстро

Welcome!

http://www.securitylab.ru/lab/

Будущие исследования

Полные результаты исследования и детальная информация по методам поиска уязвимостей будут

Никита Тараканов ntarakanov@ptsecurity.com

Вопросы?

PT Research Team

Раздел "Лаборатория" www.securitylab.ru/lab на портале SecurityLab публикует уязвимости, обнаруженные в