前言 研究人员警告说,Guidance Software的法医工具EnCase取证成像仪存在一个缺陷,可以被黑客用来控制研究者的计算机和证据。但是,供应商认为攻击是一个“边缘案例”,并不打算在不久的将来修复。 取证工具EnCase取证成像器存在漏洞 Guidance Software的取证产品被政府,执法机构和私营公司使用,包括美国司法部,美国国土安全部,伦敦警察局,微软,IBM,Apple和Facebook。 该公司的EnCase Forensic Imager是一个独立的工具,旨在获取本地驱动的取证图像,并查看和查看潜在的证据文件。美国证券交易委员会的研究人员分析了该产品,发现它受到了潜在严重漏洞的影响。该漏洞允许恶意攻击者通过特制的图像文件在运行EnCase取证成像器的系统上执行任意代码。 美国证券交易委员会指出的一个攻击场景是,犯罪分子准备了一个带有特殊准备图像的USB。如果执法部门突袭,调查人员拿起USB并通过成像仪对其进行分析。当调查员使用该工具的选项在驱动程序中搜索LVM2逻辑卷时,嫌疑人的恶意图像会触发恶意软件执行。如果调查员的计算机已联网,则恶意软件允许攻击者访问设备和存储在计算机上的文件,以及删除或控制证据。如果调查员的计算机未连接到Internet,则攻击者可以创建执行预期行为的恶意软件(例如删除与扩展名或名称关联的文件)。
研究人员指出,EnCase取证成像器未能检测到从LVM2分区的逻辑卷定义复制的字符串的长度。当使用成像器分析特制的LVM2分区时,部分堆栈将被攻击者控制的数据覆盖。这样攻击者就可以覆盖代码指针。当程序执行转移到此指针指定的地址时,攻击者控制剩余的程序执行。 演示视频
后记 研究人员已经开发出PoC漏洞利用代码,但目前尚未公开。这不是SEC在EnCase取证成像器中发现的唯一漏洞。截至2016年11月底,美国证券交易委员会披露了影响该软件的DoS和堆溢出漏洞的详细信息。到目前为止,这些问题尚未解决。 Guidance Software表示已经看到此次和之前披露的漏洞,但认为这是一个“非常边缘的案例”,并表示如果出现问题,它将直接与消费者解决。 本文由乘客安全翻译,作者: