低调的保护：当CMF、CSS遭遇IE7 0day ----飓风过岗 伏草惟存

ubuntu

经常看到有人问Comodo的内存防火墙是干什么的
Comodo Safe Surf 有什么作用


这方面我是菜鸟，我只做简单的介绍，主要看后面的实战


Comodo Memory Firewall(CMF) 和它的简化版 Comodo Safe Surf(CSS)
是Comodo出的缓冲区溢出保护工具
缓冲区溢出，在程序员看来就是编程时犯下错误，内存分配和回收出现问题，而被恶意利用
主要的一个就是浏览器被利用，后台下载恶意程序，执行恶意代码



那为什么有了硬件DEP，还需要CMF呢？
因为DEP的兼容性还没有那么好，所以，微软默认DEP只保护系统核心进程和服务，不是全部
CMF相对DEP兼容性要好很多，基本可以满足保护所有日常程序，而不冲突，软DEP也很好
特殊的溢出，Ret2libc可以绕过硬件DEP，但是无法绕过CMF
CSS兼容性更好一些，因为没有用到驱动



想多了解CMF、CSS可以参考一下

Comodo Memory Firewall使用介绍
http://bbs.kafan.cn/thread-396249-1-1.html



SafeSurf BO保护(不带asktoolbar版)
http://bbs.kafan.cn/thread-382111-1-1.html



以前我们只能拿Comodo的溢出测试工具来测试
人家就会说，你这是自娱自乐，自己出的工具，当然能过





好，那么我们来真格的

IE7 0day不是来了吗
各大网站介绍铺天盖地啊
因为当时微软安全更新，居然没有这个补丁；事后几天，才加班补上
所以，还有很多安全公司发布第三方补丁



这次的漏洞是个典型的堆(heap)溢出，微软的工程师也会犯错，

关键代码是：SRC=http://rਊr.book.com src=http://www.google.com
由于 SRC 字符串当中的 rਊr 是非正常字符，导致对象分配失败，而失败后的内存指针没有被释放，继续被利用，而这个指针被病毒制造者人为指向了一段堆地址，而如果这段地址被 ShellCode 覆盖的话，调用这个指针就会导致有溢出

出问题的IE组件便是MSHTML.DLL。
mshtml.dll会对这个SRC：http://rਊr.book.com（即http://rਊr.book.com）作如下解析：
r把十进制的114转成0x0072
ਊ把十进制的2570转成0x0a0a
刚好它们拼在一起就是一个可利用的堆地址：0x0a0a0072，再通过spray函数，分配大量的内存，可使shellcode填充到这个地址空间去

以上原理来自：http://blog.sina.com.cn/s/blog_59acc8e20100bgyb.html



来看看CMF、CSS的表现，这是我多次实际测试的截图：
网址我就不涂黑了，不知道修复没有
没有安全防护，最好不要去


Comodo Safe Surf + IE7







Comodo Memory Firewall + IE7




Comodo Memory Firewall + GreenBrowser




Comodo Memory Firewall + Maxthon




Comodo Memory Firewall + TheWorld





继续贴 CMF 不同网站












和good heap spray 进行对照，确认是IE7 0day






最后有一些结论：
1. 只要用CMF防住溢出，阻止ShellCode的执行，后面的浏览器后台下载，就不会发生。
推断，无论ShellCode和生成物如何变化，只要堆溢出不变，CMF应该都能防住。
不需要升级什么特征码，黑名单什么的。

2. CMF 可以全局防，支持所有程序
CSS 虽然官方论坛说可以防所有的程序，并且通过Comodo的BO测试
但是，经我测试，CSS只能防IE溢出，不能防IE的壳(MT、GB、TW)溢出
所以，官网上的说明也不能全信，需要实践检验。

3. 如果，不冲突的话，建议装CMF
否则，先用硬件DEP顶住，等新版
新的测试版马上就要发布，很可能集成CMF

4. 为什么CMF不能通过某些溢出测试
因为，很多测试并没有真正的ShellCode在堆栈保护区(非执行区)执行
CMF是保护真实世界里的溢出，而不是测试

5. CMF只是缓冲区溢出保护，要完整的保护系统，还是需要以CIS之类的软件为主







如果有新人不知道CMF是什么，希望看过这个帖子会有新的认识！

[ 本帖最后由 ubuntu 于 2008-12-30 17:35 编辑 ]

caizh

顶u版，又有u版的技术文章可以看了，谢谢！
cmf在用……

[ 本帖最后由 caizh 于 2008-12-30 17:08 编辑 ]

huai168an

CMF  我正在用 呢

周勃

高深哪。景仰景仰
貌视我怎么看不到截图呀？

呵哦，现在能看到了。

周勃

就是不知道这东东怎么用。
看样子以前不用是错误的。

huai168an

此贴  强烈要求加亮置顶

yinwanan

又出精品文章了

llxm920

只用过下CSS  

1e3e

很好的教程，谢谢了

loveyuwei

又出新作，前排支持。