OD: ActiveX Vulnerabilities

通过一个精心构造的页面 exploit 第三方软件中的 ActiveX 已经成为一种惯用攻击手段，众多知名软件公司都曾被发现其注册的 ActiveX 中存在严重的缓冲区溢出漏洞，一个被广泛使用的第三方软件漏洞的危害性不亚于 OS 级别的漏洞！

每一个 ActiveX 控件被注册进入系统之后，就会在注册表中建立一个键值来标识自己，这个键值就是 CLSID（Class ID），位于：HKEY_CLASSES_ROOT\CLSID，而能被浏览器加载的控件信息位于：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

满足下列条件的 ActiveX 控件才能被浏览器正常调用：

* 对已经安装进系统的控件，必须被标记为可安全执行脚本（as safe for scripting，CLSID 项下若有 Implemented Catagories 选项，则为可安全执行脚本）。
* 对未安装进系统的控件，初次调用时浏览器会给出提示警告，在用户确定并同意后，才会下载安装该控件。

当可安全执行脚本选项被取消时，IE 会警告用户：该 ActiveX 控件可能不安全，根据用户的选择，该控件仍可能被调用。

当 ActiveX 控件的 KillBit 被设置后，只要不启用 IE 中的“对未标记为安全的 ActiveX 控件初始化并执行脚本”选项，IE 就不会调用该控件。所以一旦一个控件被设置了 KillBit，就很难再被浏览器自动调用（注：论文 Acctcking Interoperability 中说明某些情况下 KillBit 机制可以被绕过）。

设置 KillBit 的方法：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Compatibility Flags = 0x400

很多程序例如 VC++6.0 自带的工具 OLEViewer 可以查看控件中的信息。

OLEViewer 中的 Type Libraries 选项中包含在系统中注册过的所有 ActiveX 控件信息。

一个 ActiveX 控件文件可以同时向系统中注册多个控件类，从 OLEViewer 中打开一个 ActiveX 后，新的窗口中以 coclass 为前缀即为控件类。

选中某个控件类，可以看到其 uuid；展开某个控件类，通过 Methods 可以查看其内部的接口集合。

选中接口名称，可以在右侧窗口中显示出接口信息。其中无参接口为属性接口，带有 propget 描述，测试时用赋值来传递数据给接口（Name.Interface=data）；带参数的接口为函数/方法接口，带有 propput 描述，测试时用参数形式来传递数据（Name.Function(data)）。

手工 Fuzz 的流程为：

  建立变量，string//负数/小数/大数…
  将变量传递给用户接口
  保存代码到 web 服务目录下
  OllyDbg 挂接 IE 并访问测试文件
  分析

自动化的 ActiveX Fuzz 可以使用以下软件：

* COMRaider，带 GUI，由 iDefense LAB 的 David Zimmer 出品，很出色。
* AxMan，必须配合 IE 一起使用。
* Axfuzz，开源工具，可以列举 COM 的所有属性，进行简单 Fuzz。可以阅读这个工具的源码来学习如何编写 ActiveX 插件。

COMRaider 已将测试 ActiveX 控件所需的编写模板、获取用户接口、制定参数、测试结果监视等功能全部整合，能自动区分当前系统中能被浏览器正常调用的 ActiveX 控件，并分析出被测试控件的所有外部接口。

书中有几个实验：

* 超星阅读器 4.0 版本中的 pdg2.dll 的 LoadPage() 缓冲区溢出漏洞分析（Heap Spray）
* 微软 COMCT232.ocx 远程文件判断漏洞（实现穷举目录内容功能）