CVE-2017-7368:高通声卡驱动中的条件竞争漏洞分析

作者:启明星辰ADLab

一、前言

最近,在进行Android源码审计的时候,发现了存着于高通声卡驱动中的一个条件竞争漏洞CVE-2017-7368(CNVD-2017-10809,CNNVD-201704-037)。虽然审计的源码稍微有点过时,谷歌在六月份已经修复了该漏洞,但是整个漏洞发现的过程和漏洞的分析还是比较有意义的。本文首先介绍高通声卡的攻击面和攻击向量,然后详细分析该漏洞成因,最后给出POC。

二、攻击面和攻击向量

Android是基于Linux的移动操作系统,其基本架构如下图:

其中,驱动位于Linux内核层,驱动程序是一个软件组件,可以让操作系统和设备彼此通信。驱动程序会创建一些接口,允许用户从         用户空间访问,以便控制硬件。如果驱动程序中存着漏洞,用户就可以从用户权限提升到内核权限,也就是root权限。

Linux驱动程序一般会在/dev目录下创建一些文件,然后用户可以打开这些文件,通过ioctl函数控制硬件。其中,声卡创建的文件在/dev/snd目录下,如下图:

声卡驱动一般是由第三方厂商实现,如果采用高通的芯片,那么声卡驱动就是由高通提供,而第三方厂商的代码更容易出现一些安全漏洞。因此高通的声卡驱动是一个非常好的攻击面,ioctl函数就是这个攻击面的攻击向量。

三、漏洞分析

出现漏洞的代码位于sound/soc/msm/qdsp6v2/msm-lsm-client.c:

用户空间通过打开/dev/snd/目录下的对应文件,然后设置ioctl函数的cmd参数为SNDRV_LSM_REG_SND_MODEL_V2,就会进入这块代码。

问题主要出现在767行和775行,第767行驱动程序为ptrd->lsm_client分配snd_model_v2.data_size长度的内核空间,然后将snd_model_v2.data(用户空间数据)拷贝到分配的内核空间里。其中,snd_model_v2是用户空间传入的参数,snd_model_v2.data_size和snd_model_v2.data都是用户可以控制的,ptrd->lsm_client是一个全局变量。这段代码如果单线程执行,并不存在什么问题,分配了snd_model_v2.data_size长度的内核空间,并从用户空间拷贝对应长度的用户空间数据,不会出现越界。但这里的ptrd->lsm_client是一个全局变量,如果多线程运行,就会出现一些问题。

这里,我们假设有两个线程,线程A和线程B。

1、假设线程A请求分配2000个字节的空间,这时内核执行到767行为ptrd->lsm_client分配了2000字节,ptrd->lsm_client的长度为2000,这时线程A挂起,执行线程B。

2、线程B请求分配1000个字节的空间,这时内核执行到767行为ptrd->lsm_client分配了1000字节,ptrd->lsm_client的长度为1000,这时线程B挂起,执行线程A。

3、线程A继续执行到775行,进行数据拷贝,此时ptrd->lsm_client的长度已经变成了1000,而线程A并不知情,依然拷贝2000个字节到ptrd->lsm_client,这时就会出现一个堆的溢出。

但是,这种情况并不一定会出现,只有一定的概率出现。不过,如果请求的次数足够多,这种情况就会出现。

漏洞修补方案比较简单,增加一个锁即可。

四、poc构造

分析清楚漏洞的成因之后,就可以进行POC的构造。首先,打开/dev/snd下对应的文件。

然后,构造两个snd_model_v2结构体,一个的data_size设置为2000,另一个设置为1000。

最后,开启两个线程不断循环的进行请求,即可触发该漏洞。

五、总结

条件竞争的漏洞目前很难fuzz出来,只能靠安全人员的代码审计,所以这类漏洞还是会有很多。并且Android的碎片化导致安全更新很难全部部署到所有的手机上,仍有大量的手机面临着漏洞的风险。

上一篇:Pengex通过系统盘疯狂传播 攻击所有主流杀软

下一篇:Metinfo 5.3.17 前台SQL注入漏洞分析