CVE-2017-7368:高通聲卡驅動中的條件競爭漏洞分析
責編:admin |2017-08-02 10:01:45作者:啟明星辰ADLab
一、前言
最近,在進行Android源碼審計的時候,發現了存著于高通聲卡驅動中的一個條件競爭漏洞CVE-2017-7368(CNVD-2017-10809,CNNVD-201704-037)。雖然審計的源碼稍微有點過時,谷歌在六月份已經修復了該漏洞,但是整個漏洞發現的過程和漏洞的分析還是比較有意義的。本文首先介紹高通聲卡的攻擊面和攻擊向量,然后詳細分析該漏洞成因,最后給出POC。
二、攻擊面和攻擊向量
Android是基于Linux的移動操作系統,其基本架構如下圖:
其中,驅動位于Linux內核層,驅動程序是一個軟件組件,可以讓操作系統和設備彼此通信。驅動程序會創建一些接口,允許用戶從 ? ? ? ? 用戶空間訪問,以便控制硬件。如果驅動程序中存著漏洞,用戶就可以從用戶權限提升到內核權限,也就是root權限。
Linux驅動程序一般會在/dev目錄下創建一些文件,然后用戶可以打開這些文件,通過ioctl函數控制硬件。其中,聲卡創建的文件在/dev/snd目錄下,如下圖:
聲卡驅動一般是由第三方廠商實現,如果采用高通的芯片,那么聲卡驅動就是由高通提供,而第三方廠商的代碼更容易出現一些安全漏洞。因此高通的聲卡驅動是一個非常好的攻擊面,ioctl函數就是這個攻擊面的攻擊向量。
三、漏洞分析
出現漏洞的代碼位于sound/soc/msm/qdsp6v2/msm-lsm-client.c:
用戶空間通過打開/dev/snd/目錄下的對應文件,然后設置ioctl函數的cmd參數為SNDRV_LSM_REG_SND_MODEL_V2,就會進入這塊代碼。
問題主要出現在767行和775行,第767行驅動程序為ptrd->lsm_client分配snd_model_v2.data_size長度的內核空間,然后將snd_model_v2.data(用戶空間數據)拷貝到分配的內核空間里。其中,snd_model_v2是用戶空間傳入的參數,snd_model_v2.data_size和snd_model_v2.data都是用戶可以控制的,ptrd->lsm_client是一個全局變量。這段代碼如果單線程執行,并不存在什么問題,分配了snd_model_v2.data_size長度的內核空間,并從用戶空間拷貝對應長度的用戶空間數據,不會出現越界。但這里的ptrd->lsm_client是一個全局變量,如果多線程運行,就會出現一些問題。
這里,我們假設有兩個線程,線程A和線程B。
1、假設線程A請求分配2000個字節的空間,這時內核執行到767行為ptrd->lsm_client分配了2000字節,ptrd->lsm_client的長度為2000,這時線程A掛起,執行線程B。
2、線程B請求分配1000個字節的空間,這時內核執行到767行為ptrd->lsm_client分配了1000字節,ptrd->lsm_client的長度為1000,這時線程B掛起,執行線程A。
3、線程A繼續執行到775行,進行數據拷貝,此時ptrd->lsm_client的長度已經變成了1000,而線程A并不知情,依然拷貝2000個字節到ptrd->lsm_client,這時就會出現一個堆的溢出。
但是,這種情況并不一定會出現,只有一定的概率出現。不過,如果請求的次數足夠多,這種情況就會出現。
漏洞修補方案比較簡單,增加一個鎖即可。
四、poc構造
分析清楚漏洞的成因之后,就可以進行POC的構造。首先,打開/dev/snd下對應的文件。
然后,構造兩個snd_model_v2結構體,一個的data_size設置為2000,另一個設置為1000。
最后,開啟兩個線程不斷循環的進行請求,即可觸發該漏洞。
五、總結
條件競爭的漏洞目前很難fuzz出來,只能靠安全人員的代碼審計,所以這類漏洞還是會有很多。并且Android的碎片化導致安全更新很難全部部署到所有的手機上,仍有大量的手機面臨著漏洞的風險。