Windows Type1字体处理远程代码执行漏洞 (CVE-2020-0938) 在野POC分析

漏洞背景及在野POC

2020年4月，奇安信威胁情报中心红雨滴团队对微软通告的Windows Adobe Type 1漏洞CVE-2020-0938进行了相关通告。自此，红雨滴团队一直保持着对该漏洞的高度关注。近日，红雨滴团队在日常的高级威胁监控中发现，疑似CVE-2020-0938漏洞的在野POC出现在VirusTotal上，我们在发现该POC的第一时间内便对安全社区进行了预警。

目前VT上仅有8家杀软能对样本进行查杀：

而该漏洞最早是由奇安信代码安全卫士的柳本金及张之义发现，且Google在当时还发现了相关的在野利用：

样本在2020年8月3号最早被上传，上传地为乌克兰：

从其对应的路径名来看可以确定该样本是从相关的安全研究员机器上上传的，而且有俄语相关背景。

通过文件名我们可以找到以下几个相关的文件，其中pfb和mmm文件为对应的POC相关文件。

样本的构造时间为7月10日：

该POC通过一定程度的修改，可触发导致系统崩溃：

漏洞原理分析

通过bindiff可以很容易找到存在问题的函数：

漏洞的主要问题出现在type 1字体的BlendDesignPosition字段中，相关adobe type 1 font的介绍如下所示:

详细的内容可以通过官网下的pdf查看：

https://www.adobe.com/content/dam/acom/en/devnet/font/pdfs/5004.AFM_Spec.pdf

这里可以看到BlendDesignPosition的介绍，其本身是一个数组。

而在对应的问题函数SetBlendDsignPositions中可以看到实际用于数组处理的空间是栈上的局部变量v9，如下所示其大小为960，根据for内的代码可知，每个element的大小是60，也就是说SetBlendDsignPositions的size大小应该是16，但是注意看这里的代码for循环，是没有校验对应的index数的，也就是说我们可以一直往后越界读取内容。

而有意思的是在循环中每获取一个element，就会调用函数GetOpenFixedArray，而函数GetOpenFixedArray中会对对应的element进行一次写操作，如下所示，这就导致我们可以复写修改对应堆栈上的内容，如栈上的返回地址。而这里MakeFixed中返回的数据也是可控的，即array中当前element的内容。