欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

漏洞聚焦:NVIDIA Windows GPU显示驱动、VMware多个远程代码执行漏洞分析

来源:本站整理 作者:佚名 时间:2019-08-12 TAG: 我要投稿

一、执行摘要
近期,研究人员发现VMware ESXi、Workstation和Fusion存在一个越界写入漏洞,可以使用特制的Shader文件触发。该漏洞可以从VMware Guest虚拟机触发此漏洞,将会影响Vmware宿主机,从而导致主机上的vmware-vmx.exe进程崩溃(拒绝服务),该漏洞编号为CVE-2019-5521。
但是,由于NVIDIA的Windows GPU显示驱动存在额外的安全问题,当宿主机/虚拟机系统使用NVIDIA显卡时,VMware拒绝服务漏洞可能会转换为代码执行漏洞(CVE-2019-5684)并导致虚拟机逃逸。
此外,在NVIDIA Windows GPU显示驱动程序上,发现了两个可能导致任意代码执行的越界写入漏洞(CVE-2019-5685),上述漏洞可以由特定的Shader文件触发。
根据我们的协调披露政策,Cisco Talos与NVIDIA和VMware开展合作,确保这些漏洞得以修复,并为受影响的客户提供更新。
二、VMware Workstation 15 Pixel Shader功能拒绝服务漏洞(CVE-2019-5521)
2.1 摘要
VMware Workstation 15中存在可以利用的拒绝服务漏洞,特制的Pixel Shader将会导致拒绝服务问题。攻击者可以利用特制的Shader文件来触发此漏洞,导致宿主机上的vmware-vmx.exe崩溃。
2.2 测试版本
VMware Workstation 15(15.0.2 build-10952284),使用Windows 10 x64作为Guest虚拟机
2.3 CVSSv3评分
6.5 – CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
2.4 CWE
CWE-125:越界读取
2.5 漏洞详情
在VMware Guest操作系统中,可以通过提供格式错误的Pixel Shader来触发此漏洞。攻击者可能会从VMware Guest用户模式触发此操作,通过越界读取导致主机上的vmware-vmx.exe进程发生拒绝服务攻击,该过程可能也会导致信息泄露。该攻击也可能通过WEBGL(远程网站)实现。
格式错误的Pixel Shader如下所示:
(VMware调试模式)
2018-12-26T09:31:59.472+01:00| svga| W115: --- input ---
2018-12-26T09:31:59.472+01:00| svga| W115+ ps_4_0
2018-12-26T09:31:59.472+01:00| svga| W115+ DCL_SAMPLER SAMPLER[0], DEFAULT
2018-12-26T09:31:59.472+01:00| svga| W115+ DCL_RESOURCE RESOURCE[0], TEXTURE2D, {FLOAT, FLOAT, FLOAT, FLOAT}
2018-12-26T09:31:59.472+01:00| svga| W115+ DCL_INPUT_PS INPUT[1].xy, LINEAR
2018-12-26T09:31:59.472+01:00| svga| W115+ DCL_OUTPUT OUTPUT[0].xyzw
2018-12-26T09:31:59.472+01:00| svga| W115+ DCL_TEMPS 1
2018-12-26T09:31:59.472+01:00| svga| W115+ SAMPLE TEMP[0].xyzw, INPUT[1].xyxx, RESOURCE[26112].xyzw, SAMPLER[0]
2018-12-26T09:31:59.472+01:00| svga| W115+ MOV OUTPUT[0].xyzw, TEMP[0].xyzw
2018-12-26T09:31:59.472+01:00| svga| W115+ RET
2018-12-26T09:31:59.472+01:00| svga| W115+
2018-12-26T09:31:59.472+01:00| svga| E105: PANIC: ASSERT bora\mks\hostops\DX11\DX11ShaderTrans.c:3267
2018-12-26T09:31:59.472+01:00| svga| W115: Win32 object usage: GDI 7, USER 24
2018-12-26T09:31:59.472+01:00| svga| I125: CoreDump_CoreDump: faking exception to get context
2018-12-26T09:31:59.473+01:00| svga| I125: CoreDump: Minidump file vmware-vmx-debug.dmp exists. Rotating ...
通过修改Shader指令(Shader字节码),可能会导致vmware-vmx.exe进程的拒绝服务。举例来说,例如将“SAMPLE TEMP[0].xyzw, INPUT[1].xyxx, RESOURCE[0].xyzw, SAMPLER[0]”修改为“SAMPLE TEMP[0].xyzw, INPUT[1].xyxx, RESOURCE[26112].xyzw, SAMPLER[0]”。
正如我们在Shader指令转储中看到的那样,该过程修改了Shader,并且数组索引“RESOURCE”已经更改为26112。这将会导致漏洞的产生,因为在资源的声明中,仅对RESOURCE[0]进行了声明,所以RESOURCE[26112]实际上是无效的。这样会导致读取访问冲突,如下所示。此外,通过更改该数组的索引值,攻击者可以计算出不同的读取地址,并导致越界读取。
(VMware发布模式崩溃转储片段)
0:012> .ecxr
rax=00000001fffff000 rbx=00007ff7eb952420 rcx=5de0fa8b8cd20000
rdx=0000000000000000 rsi=000000000ebe67e8 rdi=000000000f75ab20
rip=00007ff7eb95263d rsp=000000000ebe47f0 rbp=000000000ebe48f0
 r8=0000000000000000  r9=0000000000000000 r10=00000000fffff800
r11=000000000ebe3710 r12=0000000000000000 r13=000000000ebe6910
r14=0000000000000000 r15=000000000ebe64a0
iopl=0         nv up ei pl nz na po nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010206
Unable to load image C:\Program Files (x86)\VMware\VMware Workstation\x64\vmware-vmx.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for vmware-vmx.exe
*** ERROR: Module load completed but symbols could not be loaded for vmware-vmx.exe
vmware_vmx+0x35263d:
00007ff7`eb95263d 4c8b1cc7        mov     r11,qword ptr [rdi+rax*8] ds:00000010`0f752b20=????????????????
2.6 时间节点
2019年1月14日 向厂商披露漏洞
2019年4月8日 Nvidia和VMware开始进行协调沟通
2019年5月23日 披露截止日期延长
2019年8月2日 厂商发布补丁,公开发布漏洞情况
2.7 致谢
该漏洞由Cisco Talos团队的Piotr Bania发现。
三、NVIDIA NVWGF2UMX_CFG.DLL Shader功能代码执行漏洞(CVE-2019-5684)
3.1 摘要
在NVIDIA NVWGF2UMX_CFG驱动程序的24.21.14.1216和412.16版本中存在可以被利用的不可信指针解除引用漏洞。该漏洞可以从VMware Guest虚拟机触发,并影响VMware宿主机。
3.2 测试版本
NVWGF2UMX_CFG.DLL(24.21.14.1216版本),NVIDIA D3D10驱动412.16版本,NVIDIA Quadro K620 VMware Workstation 15(15.0.2 build-10952284),使用Windows 10 x64作为Guest虚拟机。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载