51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Windows图像解析Fuzzing(一):颜色配置文件

作者:41yf1sh
系统 Windows
:图像解析和渲染是任何现代操作系统的基础功能。同时,这一功能可以导致远程代码执行或信息泄露风险,对攻击者来说非常有价值。

[[347297]]

一、概述

图像解析和渲染是任何现代操作系统(OS)的基础功能。同时,图像解析也是一个易于访问的攻击面,这一功能可以导致远程代码执行或信息泄露风险,对攻击者来说非常有价值。在这一系列文章中,我将回顾Windows操作系统内置的图像解析器和相关文件格式,特别关注构建工具、寻找语料库(Corpus)以及通过模糊测试(Fuzzing)发现漏洞的过程。在第一部分中,我们重点分析颜色配置文件。该文件并不是图像格式本身,而是规则嵌入在图像中的颜色。

二、ICC颜色配置文件分析

在维基百科上,提供了对ICC颜色配置文件的定义:“在颜色管理过程中,根据国际颜色协会(ICC)发布的标准,ICC配置文件是一组定义颜色输入输出设备以及颜色空间的数据。配置文件通过定义设备源或目标颜色空间与配置文件连接空间(PCS)之间的映射,描述特定设备的颜色属性或预览要求。这里的PCS可以是CIELAB (L*a*b*),或者是CIEXYZ。可以使用定义插值(Interpolation)的表格来指定映射,也可以通过一系列参数进行转换。

简而言之,ICC颜色配置文件是一个二进制文件,该文件会嵌入到图像中,并在ICC支持的软件处理图像时进行解析。

三、ICC规范

ICC规范大概有100页,相对比较容易浏览。通读规范可以更好地理解文件格式,不同类型的颜色配置文件以及颜色转换背后的数学原理。此外,了解文件格式的内部结构可以为我们提供信息,以便更好地优化模糊测试、选择良好的语料库以及准备模糊测试的字典。

四、关于Windows颜色管理

从Windows 95开始,发布了图像颜色管理(ICM)的1.0版本,从Windows 98以后开始发布2.0版本。从Windows Vista开始,对Windows色彩系统(WCS)1.0版本进行了大幅改动。ICC颜色配置文件是二进制文件,而WCS颜色配置文件则使用XML作为其文件格式。在这篇文章中功能,我们专注于分析ICC颜色配置文件。

Microsoft曾发布过支持的Windows API的列表,其中就包含一些名称非常明显的API,例如OpenColorProfile,我们可以看到它是在MSCMS.dll中实现的。这个DLL是通用入口点,支持加载Microsoft的颜色管理模块(CMM)和第三方颜色管理模块(例如Adobe的CMM)。Microsoft的CMM(即ICM)可以在system32目录中找到,名称为ICM32.dll。

ICM32:

Windows图像解析Fuzzing(一):颜色配置文件

Windows的CMM是在Windows 95时代由第三方编写的,发展至今仍然或多或少地包含当时的代码,但已经经过了数十年来的安全修复。既然是如此古老的模块,我们就有希望在其中发现新的漏洞。但是,这也是一个非常小的模块,可能经过了多轮审计和模糊测试,包括内部产品安全团队和外部研究人员,这个事实在一定程度上降低了我们找到漏洞的希望。我们检索近期发现的ICM32漏洞,可以发现Project Zero和ZDI的研究人员在2017-2018年期间发现了多个漏洞,但从2019年开始就没有找到更多的研究成果。

五、构建工具

尽管在MSDN上有ICM API的列表,但我们需要找到Windows用于所有ICC相关操作的API序列。要查找API序列,一种方式是搜索Windows DLL和EXE的反汇编并寻找用到的颜色配置文件API,另一种方式是找到适用于开源色彩管理系统(例如Little CMS,LCMS)的工具。使用这两种方式,最终共同指向了很少的几个API,这些API具有打开颜色配置文件和创建颜色转换的功能。

基于上述信息,我编写了一个简单的初始工具:

  1. #include < stdio.h > 
  2. #include < Windows.h > 
  3. #include < Icm.h > 
  4. #pragma comment(lib, "mscms.lib"
  5. int main(int argc, char** argv) 
  7.     char dstProfilePath[] = "sRGB Color Space Profile.icm"
  8.     tagPROFILE destinationProfile; 
  9.     HPROFILE   hDstProfile = nullptr;   
  10.     destinationProfile.dwType = PROFILE_FILENAME; 
  11.     destinationProfile.pProfileData = dstProfilePath; 
  12.     destinationProfile.cbDataSize = (strlen(dstProfilePath) + 1); 
  13.     hDstProfile = OpenColorProfileA(&destinationProfile, PROFILE_READ, 
  14.         FILE_SHARE_READ, OPEN_EXISTING); 
  15.     if (nullptr == hDstProfile) 
  16.     { 
  17.         return -1; 
  18.     }   
  19.     tagPROFILE sourceProfile; 
  20.     HPROFILE   hSrcProfile = nullptr; 
  21.     HTRANSFORM hColorTransform = nullptr;     
  22.     DWORD dwIntent[] = { INTENT_PERCEPTUAL, INTENT_PERCEPTUAL }; 
  23.     HPROFILE hProfileList[2];   
  24.     sourceProfile.dwType = PROFILE_FILENAME; 
  25.     sourceProfile.pProfileData = argv[1]; 
  26.     sourceProfile.cbDataSize = (strlen(argv[1]) + 1); 
  27.     hSrcProfile = OpenColorProfileA(&sourceProfile, PROFILE_READ, 
  28.         FILE_SHARE_READ, OPEN_EXISTING); 
  29.     if (nullptr == hSrcProfile) 
  30.     { 
  31.         return -1; 
  32.     }   
  33.     hProfileList[0] = hSrcProfile; 
  34.     hProfileList[1] = hDstProfile; 
  35.     hColorTransform = CreateMultiProfileTransform( 
  36.         hProfileList, 
  37.         2, 
  38.         dwIntent, 
  39.         2, 
  40.         USE_RELATIVE_COLORIMETRIC | BEST_MODE, 
  41.         INDEX_DONT_CARE 
  42.     ); 
  43.     if (nullptr == hColorTransform) 
  44.     { 
  45.         return -1; 
  46.     }   
  47.     DeleteColorTransform(hColorTransform); 
  48.     CloseColorProfile(hSrcProfile); 
  49.     CloseColorProfile(hDstProfile); 
  50.     return 0; 

六、寻找语料库和字典

在互联网上,可以找到大量提供颜色配置文件的网站。颜色配置文件的另一个主要来源是图像。有许多图像文件都包含颜色配置文件,但需要一些工具将颜色配置文件转储到单独的文件中。

简单浏览规范,我们还可以保证语料库至少包含来自7个不同颜色配置文件的所有样本。而将它与代码覆盖率信息结合,可以准备第一套语料,用于模糊测试。

我们可以在梳理规范的过程中,创建唯一标签名称和对应值的列表,从而准备字典,帮助模糊工具查找其他代码路径。另外,还可以从LCMS这样的开源模糊测试尝试过程中找到字典。

七、模糊测试

我使用16核主机对第一套语料进行模糊处理,同时将来自MSCMS.dll和ICM32.dll的代码覆盖率信息作为我的模糊工具的反馈。在几天后,开始出现崩溃。

八、CVE-2020-1117:InitNamedColorProfileData中的堆溢出

在尝试越界读取时,icm32!SwapShortOffset中发生了以下崩溃:

  1. 0:000 > r 
  2. rax=0000023690497000 rbx=0000000000000000 rcx=00000000000000ff 
  3. rdx=000000000000ffff rsi=0000023690496f00 rdi=0000023690496fee 
  4. rip=00007ffa46bf3790 rsp=000000c2a56ff5a8 rbp=0000000000000001 
  5.  r8=0000000000000014  r9=0000023690497002 r10=0000000000000014 
  6. r11=0000000000000014 r12=000000c2a56ff688 r13=0000023690492de0 
  7. r14=000000000000000a r15=000000004c616220 
  8. iopl=0         nv up ei ng nz ac pe cy 
  9. cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000293 
  10. icm32!SwapShortOffset+0x10: 
  11. 00007ffa`46bf3790 0fb610          movzx   edx,byte ptr [rax] ds:00000236`90497000=?? 
  12.   
  13. 0:000 > !heap -p -a @rax 
  14.     address 0000023690497000 found in 
  15.     _DPH_HEAP_ROOT @ 23690411000 
  16.     in busy allocation (  DPH_HEAP_BLOCK:         UserAddr         UserSize -         VirtAddr         VirtSize) 
  17.                              23690412b60:      23690496f00              100 -      23690496000             2000 
  18.     00007ffa51644807 ntdll!RtlDebugAllocateHeap+0x000000000000003f 
  19.     00007ffa515f49d6 ntdll!RtlpAllocateHeap+0x0000000000077ae6 
  20.     00007ffa5157babb ntdll!RtlpAllocateHeapInternal+0x00000000000001cb 
  21.     00007ffa51479da0 msvcrt!malloc+0x0000000000000070 
  22.     00007ffa46bf3805 icm32!SmartNewPtr+0x0000000000000011 
  23.     00007ffa46bf37c8 icm32!SmartNewPtrClear+0x0000000000000014 
  24.     00007ffa46c02d05 icm32!InitNamedColorProfileData+0x0000000000000085 
  25.     00007ffa46bf6e39 icm32!Create_LH_ProfileSet+0x0000000000004e15 
  26.     00007ffa46bf1973 icm32!PrepareCombiLUTs+0x0000000000000117 
  27.     00007ffa46bf1814 icm32!CMMConcatInitPrivate+0x00000000000001f4 
  28.     00007ffa46bf12a1 icm32!CWConcatColorWorld4MS+0x0000000000000075 
  29.     00007ffa46bf11f4 icm32!CMCreateMultiProfileTransformInternal+0x00000000000000e8 
  30.     00007ffa46bf1039 icm32!CMCreateMultiProfileTransform+0x0000000000000029 
  31.     00007ffa48f16e6c mscms!CreateMultiProfileTransform+0x000000000000024c 
  32.     00007ff774651191 ldr+0x0000000000001191 
  33.     00007ff7746514b4 ldr+0x00000000000014b4 
  34.     00007ffa505a7bd4 KERNEL32!BaseThreadInitThunk+0x0000000000000014 
  35.     00007ffa515aced1 ntdll!RtlUserThreadStart+0x0000000000000021 

icm32!SwapShortOffset读取无符号的短值,对其进行bswap,并将它们存储在相同的位置,这会导致读写原语崩溃。

反编译的SwapShortOffset:

  1. unsigned __int16 *__fastcall SwapShortOffset(void *sourceBuff, unsigned int offset, unsigned int len) 
  3.   unsigned __int16 *endBuff; // r9 
  4.   unsigned __int16 *result; // rax 
  5.   
  6.   endBuff = (sourceBuff + len); 
  7.   for ( result = (sourceBuff + offset); result < endBuff; ++result ) 
  8.     *result = _byteswap_ushort(*result);        // read, bswap and write 
  9.   return result; 

崩溃的函数icm32!SwapShortOffset并不能立即指向导致该问题的根本原因。为此,我们需要查看icm32!InitNamedColorProfileData。

反编译的InitNamedColorProfileData:

  1. __int64 __fastcall InitNamedColorProfileData(__int64 a1, void *hProfile, int a3, _DWORD *a4) 
  3.   ... 
  4.   ... 
  5.   errCode = CMGetPartialProfileElement(hProfile, 'ncl2', 0, pBuffSize, 0i64);      // getting size of ncl2 element 
  6.   if ( errCode ) 
  7.     return errCode; 
  8.   minSize = pBuffSize[0]; 
  9.   if ( pBuffSize[0] < 0x55 ) 
  10.     minSize = 0x55; 
  11.   pBuffSize[0] = minSize; 
  12.   outBuff = SmartNewPtrClear(minSize, &errCode);                                    // allocating the buffer for ncl2 
  13.   ... 
  14.   ... 
  15.   errCode = CMGetPartialProfileElement(hProfile, 'ncl2', 0, pBuffSize, outBuff);    // reading ncl2 elements to buffer 
  16.   if ( !errCode ) 
  17.   { 
  18.     ... 
  19.     ... 
  20.     totalSizeToRead = count * totalDeviceCoord; 
  21.     if ( totalSizeToRead < 0xFFFFFFFFFFFFFFAEui64 && totalSizeToRead + 0x51 <= pBuffSize[0] )  // totalSizeToRead + 0x51 <= element size
  22.     { 
  23.       currPtr = outBuff + 0x54;            // wrong offset of 0x54 is used 
  24.       ... 
  25.       ... 
  26.       do 
  27.       {   
  28.         SwapShortOffset((currPtr + 0x20), 0, 6u); 
  29.         ... 
  30.         --count; 
  31.       }while(count

在这里,代码尝试读取“ncl2”标签/元素,并从文件中获取流的大小。一个缓冲区会被分配,并再次进行相同的调用,以读取元素ncl2的完整内容。该缓冲区将被解析,以查找设备位置的计数和编号,并通过确保读写操作位于缓冲区大小中来验证该值。其中存在一个漏洞,用于验证的偏移量(0x51)小于缓冲区指针的偏移量(0x54),该漏洞导致可以超过边界读写3个字节。

该漏洞的修复方法非常简单,将用于验证的偏移量修改为0x54即可,这也是Microsoft实际修复此漏洞的方式。

九、其他漏洞

在分析上面的漏洞时,我们发现过程中会使用到CMGetPartialProfileElement函数读取大小、进行分配和读取内容。而这种模式可能会引入漏洞,例如大小不受限制、整数溢出、导致偏移量增加等。我决定分析这个函数,并寻找ICM32.dll中是否存在这样的实例。

最终发现有3个实例具有未经检查的偏移量访问,分别是:CMConvIndexToNameProfile、CMConvNameToIndexProfile和CMGetNamedProfileInfoProfile。所有这些函数都可以通过导出的、有详细说明的MSCMS函数进行访问,分别是ConvertIndexToColorName、CMConvertColorNameToIndex和GetNamedProfileInfo。

反编译后的CMConvIndexToNameProfile:

 

  1. __int64 __fastcall CMConvIndexToNameProfile(HPROFILE hProfile, __int64 a2, __int64 a3, unsigned int a4) 
  3.   ... 
  4.   ... 
  5.   errCode = CMGetPartialProfileElement(hProfile, 'ncl2', 0, pBuffSize, 0i64);    // read size 
  6.   if ( !errCode ) 
  7.   { 
  8.     allocBuff = SmartNewPtr(pBuffSize[0], &errCode); 
  9.     if ( !errCode ) 
  10.     { 
  11.       errCode = CMGetPartialProfileElement(hProfile, 'ncl2', 0, pBuffSize, allocBuff);    // read to buffer 
  12.       if ( !errCode ) 
  13.       { 
  14.         SwapLongOffset((allocBuff + 12), 0, 4u);         // 12 > *pBuffSize ? 
  15.         SwapLongOffset((allocBuff + 16), v12, v13); 

在CMConvIndexToNameProfile和其他两个函数中,我们发现了漏洞,并没有检查ncl2元素的最小长度,且偏移量12和16可以直接访问以进行读取和写入。那么如果allocBuffer的大小小于12,就可以实现对allocBuffer的越界读写。

由于在Windows中没有二进制文件使用这些函数,因此Microsoft决定不会立即修复这三个漏洞。此外,我们也没有找到使用这些API的任何Windows软件或第三方软件。

十、总结

在这一系列文章的第一部分中,我们对颜色配置文件进行了深入分析,编写工具并成功找到了多个漏洞。请大家继续关注第二部分,在第二部分中,我们将分析很少有人研究的一类漏洞——内存未初始化漏洞。

本文翻译自:https://www.fireeye.com/blog/threat-research/2020/09/fuzzing-image-parsing-in-windows-color-profiles.html如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
Windows
相关推荐
如何使用ICC配置文件Windows 10中中安装颜色配置文件
在本文中,我将通过涵盖以下主题,展示如何使用ICC配置文件在windows10中安装颜色配置文件。

2019-11-22 10:00:53

ICC配置文件Windows 10
如何在Windows 10上安装显示颜色配置文件
颜色配置文件告诉系统如何在显示器上显示颜色。使用不同的颜色配置文件可能会改变颜色的外观,并且可能会变坏,尤其是在摄影,绘画或视频编辑等领域。

2019-12-31 11:10:55

Windows 10安装配置文件
Nagios 配置文件解析
在为自己的操作系统配置Nagios监控系统时,我们有必要学习下Nagios的配置文件,让我们来看看他的具体内容!

2011-03-28 09:07:26

Nagios配置文件
使用 Python 解析配置文件
有几种流行的配置文件格式。其中包括古老的(虽然有时定义不明确)INI格式,虽然流行但有时难以手写的JSON格式,使用广泛但有时在细节方面令人意外的YAML格式,以及很多人还没有听说过的最新出现的TOML。

2021-07-05 12:09:58

Python编程语言
WCF配置文件详细解析
WCF配置文件总共由两个部分构成,其中包括服务端配置以及客户端配置。我们在这里将会针对这两个部分进行一个详细介绍。

2010-02-22 10:18:18

WCF配置文件
使用 Lua 解析配置文件
本文将讨论一些利用Lua进行持久化配置的方法。

2022-11-10 09:05:18

Lua配置文件
用 Groovy 解析 JSON 配置文件
抛开关于是否使用JSON作为配置格式的争论,只需学习如何用Groovy来解析它。

2021-07-13 05:47:40

GroovyJSON软件开发
Sendmail 配置文件
sendmail是最重要的邮件传输代理程序。也是在Unix环境下使用最广泛的实现邮件发送接受的邮件传输代理程序。本文就带大家看看Sendmail的配置文件。

2011-01-21 15:08:45

Sendmail
教你清除Windows无线配置文件
路由器的无线配置改变后,电脑中相应的配置文件不会随之改变.有可能会造成连接不上无线或是连接异常等现象.因此,当路由器的无线配置改变后,需要清除电脑中对应的配置文件.

2011-08-12 09:38:48

WCF配置文件相关操作技巧解析
WCF配置文件只要做一下简单的修改操作,就可以帮助我们实现上传数据大小的限制。希望大家通过本文介绍的内容就可以掌握这一技巧应用。

2009-12-21 11:19:50

WCF配置文件
解析关于Widget配置文件学习应用
Widget配置文件学习应用是本文要介绍的内容,主要是来了解并学习Widget配置文件,具体内容的实现来看详细代码。

2011-09-08 16:07:13

Widget配置文件
Python 配置文件的实际应用解析
本文涉及到的用有Python配置文件的实际应用的解析,以及配置文件格式的实际应用方案的介绍,希望你会有有所收获。

2010-03-18 18:17:01

Python 配置文件
如何使用Python模块解析配置文件
Python明晰的语法使其成为一种学习曲线平和的编程语言,我们使用Python来代替动态链接库形式的插件。

2010-02-03 09:19:31

Python模块
Windows Phone读取XML的配置文件
本文讲述了WindowsPhone读取XML的配置文件。在一个WP7的项目中,需要读取一个配置文件,这个配置文件无需改动,直接读取就可以。

2013-07-30 11:30:42

Windows PhoWindows Pho
如何解析 Bash 程序的配置文件
因此,将配置项放在容易维护的文本文件中,提供了分离,并允许非程序员编辑配置,而不会有对代码进行意外修改的危险。许多开发者对用编译语言编写的程序都是这样做的,因为他们并不期望用户是开发者。由于许多相同的原因,对解释型shell语言这样做也是有意义的。

2021-07-08 21:19:04

BashLinux
Windows 10如何更改公用网络配置文件
与以前版本的Windows一样,windows10允许您的PC将其网络连接分类为公共或私有。Windows认为您拥有的连接类型将决定您的PC如何与网络上的其他设备进行交互。

2018-08-08 10:10:54

Windows 10Windows网络配置
Linux配置文件
本文说明了Linux系统的配置文件,在多用户、多任务环境中,配置文件控制用户权限、系统应用程序、守护进程、服务和其它管理任务。这些任务包括管理用户帐号、分配磁盘配额、管理电子邮件和新闻组,以及配置内核参数。本文还根据配置文件的使用和其所影响的服务的情况对目前RedHatLinux系统中的配置文件进行了分类。

2011-01-13 16:27:26

Linux配置文件
Postfix配置文件
在Postfix下游哪些配置文件呢?本文整合了各个参数的作用以及列举了一些例子。

2011-01-19 14:00:21

配置 Outlook 配置文件设置
与早期Office版本中的自定义安装向导一样,您可以使用2007MicrosoftOffice系统中的Office自定义工具(OCT)配置新的Outlook配置文件或修改现有的Outlook配置文件。本文介绍OCT中与MicrosoftOfficeOutlook2007配置文件自定义相关的新功能。

2010-12-28 16:35:32

Outlook 配置文
Python读写配置文件的实际操作步骤解析
本文主要讲述的是python读写配置文件的例子以及相关代码的介绍,以及如何修改配置中的变量的值,以下是相关的介绍。

2010-03-19 11:18:07

Python读写配置文
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服