2007/05/08

MoAxB #08: SmartCode VNC Manager 3.6 (scvncctrl.dll) Denial of service

-----------------------------------------------------------------------------
SmartCode VNC Manager 3.6 (scvncctrl.dll) Denial of service
url: http://www.s-code.com/
price: from $98.94 to $2,500

author: shinnai
mail: shinnai[at]autistici[dot]org
site: http://shinnai.altervista.org

Tested on Windows XP Professional SP2 all patched, with Internet Explorer 7
-----------------------------------------------------------------------------

La maggior parte dei metodi di questo activex sono vulnerabili a DoS. L'exploit che riporto consente di controllare il contenuto di EAX e ECX ma lo scenario varia a seconda della lunghezza della stringa passata.
Lo propongo come DoS ma non escludo la possibilità di trovare il modo di eseguire codice arbitrario.

Dimostrazione online

Formato txt

Ecco il contenuto dei registri al momento del crash:

EAX 61616161
ECX 62626262
EDX 02DFECA0 ASCII "aaaabbbbBBB..."
EBX 02DF0000
ESP 0173F068
EBP 0173F288
ESI 02DFEC98 ASCII "AAAAAAAAaaaabbbbBBB..."
EDI 00000221

EIP 7C92142E ntdll.7C92142E

7C92142E 8B39 MOV EDI,DWORD PTR DS:[ECX] <-- CRASH