Detours修改段属性漏洞

v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}/* Style Definitions */
table.MsoNormalTable
{mso-style-name:普通表格;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.5pt;
mso-bidi-font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-font-kerning:1.0pt;}

受影响的软件及系统

Detours3.0和之前版本

简介

这个问题将其定位为一个漏洞可能不太合适，更可能是Detours的一个BUG，但是因为该缺陷会造成漏洞利用变得容易，因此将其定义为漏洞。其主要问题就是Detours在使用过程中会将之前的可执行段修改为可写，但是修改完之后，没有将段属性修改回来。

漏洞危害

一些安全软件出于安全考虑，会把安全模块注入到IE，Office等软件里面，而很多注入模块里面使用Detours库对系统API进行Hook操作，Detours库进行Hook操作时（DetourAttachEx函数）会将相关模块的PE头（具体是DosHeader，不可写段）修改为可写可读可执行，然后写入一些特殊数据，但是后面没有修改成原始属性。这样就会破坏这些模块的段属性，造成一些其它漏洞利用时降低了绕过DEP的难度。

漏洞原理

Detours进行Inline Hook操作时，会在相关模块PE头的DosHeader里面写入一个特殊的Detours!字符串（用于标识该模块被Hook过）。因为一般DosHeader是不可写的，因此Detours会先把该处修改为可写可读可执行属性，然后再修改。

但是改完之后，Detours并没有恢复这块内存的原始属性，这样就导致这块内存一直处于可写可读可执行属性。这样问题就产生了。

可以调试下IE试试，一般来说IEXPLORE模块本身不会被Hook，我们看看它的基址的内存属性。

0:040> lm

start    end       module name

00f50000 01016000   IEXPLORE   (deferred)

0:040> !address00f50000

Failed to map Heaps (error 80004005)

Usage:                 Image

Allocation Base:       00f50000

Base Address:          00f50000

End Address:           00f51000

Region Size:           00001000

Type:                  01000000  MEM_IMAGE

State:                 00001000   MEM_COMMIT

Protect:               00000002   PAGE_READONLY

More info:             lmv m IEXPLORE

More info:             !lmi IEXPLORE

More info:             ln 0xf50000

而mshtml则是安全软件最喜欢Hook的模块，看看它的基址的内存属性。

0:040> lmvmmshtml

start    end       module name

63d70000 64df3000   MSHTML     (deferred)

Image path:C:\windows\system32\MSHTML.dll

Image name: MSHTML.dll

Timestamp:        ThuJun 19 08:14:41 2014 (53A22B71)

CheckSum:        010838FF

ImageSize:       01083000

File version:     11.0.9600.17207

Product version:  11.0.9600.17207

File flags:       0 (Mask3F)

File OS:         40004 NT Win32

File type:        2.0 Dll

File date:       00000000.00000000

Translations:     0409.04b0

CompanyName:      MicrosoftCorporation

ProductName:      InternetExplorer

InternalName:     MSHTML

OriginalFilename:MSHTML.DLL

ProductVersion:   11.00.9600.17207

FileVersion:      11.00.9600.17207(winblue_gdr_escrow.140618-1157)

FileDescription:  Microsoft (R) HTML Viewer

LegalCopyright:   © Microsoft Corporation. Allrights reserved.

0:040> !address63d70000

Usage:                 Image

Allocation Base:       63d70000

Base Address:           63d70000

End Address:           63d71000

Region Size:           00001000

Type:                  01000000  MEM_IMAGE

State:                 00001000   MEM_COMMIT

Protect:               00000040   PAGE_EXECUTE_READWRITE

More info:             lmv m MSHTML

More info:             !lmi MSHTML

More info:             ln 0x63d70000

问题很明显吧！

有源代码，修改也很容易啦，一句代码的事情，把它的原始属性通过VirtualProtect恢复即可。

修改完之后，大家可以再调试看看，是不是属性变成了PAGE_READONLY，留给大家去尝试吧。

参考文档

[1] Detours http://research.microsoft.com/en-us/projects/detours/

Detours修改段属性漏洞,布布扣,bubuko.com