标题:
【已解决】微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞
[打印本页]
作者:
mj0011_2
时间:
2009-2-5 20:57
标题:
【已解决】微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞
微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞
微点主动防御是一款号称具有识别未知木马能力的主动防御软件
微点主动防御的最新版本1.2.10580.0169(20090205)中存在内核拒绝服务漏洞,可导致任意权限用户在安装了微点主动防御的系统上可引发蓝屏,从而导致拒绝服务攻击或为进一步攻击做准备
出问题的组件:MP110011.sys 版本:1.3.10050.0,CheckSum = 0x00014f3f, TimeStamp = 0x49534981
微点主动防御在使用对ntoskrnl!NtWriteFile->ObReferenceFileObjectForWrite的CALL HOOK中,通过使用堆栈回溯的方式取得NtWriteFile的参数ByteOffset
只使用了MmIsAddressValid函数对ByteOffset的首字节地址做了有效性判断,就直接使用了这个实际长达8个字节的Buffer,最终导致了漏洞的发生
下面是攻击示例代码,运行此代码后,装有1.2.10580.0169版本微点的机器上将立即蓝屏
**可疑代码暂作屏蔽处理,下次请直接发到
virus@micropoint.com.cn
**
下载漏洞演示程序请到
http://mj0011.ys168.com
漏洞演示目录下bsod_mp_x.rar
[
Last edited by Legend on 2009-2-16 at 15:03
]
作者:
Legend
时间:
2009-2-5 22:17
谢谢楼主的反馈,我们会根据您的描述信息具体测试分析。
作者:
mamsds
时间:
2009-2-6 08:27
额。。。。。。。。。。
又是mj0011........................
语气还是那么屌...........
哎,没办法,一般牛人都是这样....
[
Last edited by mamsds on 2009-2-7 at 16:56
]
作者:
snhao
时间:
2009-2-6 09:51
哇,欢迎欢迎!
作者:
太挫了
时间:
2009-2-6 13:06
路过顺便顶下MJ。
****已屏蔽***
[
Last edited by Legend on 2009-2-9 at 10:56
]
作者:
燕赵之士
时间:
2009-2-7 11:55
微点现在已升级到1.2.10580.0170了,不知是否能防住这个漏洞没?
作者:
alvinzhong
时间:
2009-2-7 20:28
厉害
看来要多多学习了
呵呵
作者:
MJ是我弟弟
时间:
2009-2-9 10:05
我弟弟功底还是那么好,行。哥哥支持你
:cool::cool::cool::cool::cool::cool::cool::cool:
作者:
mj0011_2
时间:
2009-2-9 10:46
Quote:
Originally posted by
燕赵之士
at 2009-2-7 11:55:
微点现在已升级到1.2.10580.0170了,不知是否能防住这个漏洞没?
170并未修复此漏洞
作者:
hu1987
时间:
2009-2-9 16:07
Quote:
Originally posted by
mj0011_2
at 2009-2-9 10:46:
170并未修复此漏洞
mj,mj,难道这就是传说中的mj吗?
作者:
hu1987
时间:
2009-2-9 16:08
试用版都174了!。。老哥!
作者:
mj0011_2
时间:
2009-2-10 13:19
对于此漏洞我的理解有误,此漏洞并不能从User权限下触发,因为User权限默认对HarddiskVolume和PhysicalDrive无法获得FILE_WRITE_DATA权限
而微点由于使用了特别的CALL HOOK方式,会使用ObReferenceFileObjectForWrite来验证权限,所以此漏洞无法在正常的USER权限下触发,默认情况下只能从管理员权限下触发,因此只能算做蓝屏问题,特此更正
作者:
yurong7777777
时间:
2009-2-10 18:08
母鸡真行,希望多搞几次
作者:
snhao
时间:
2009-2-11 11:23
哇,牛人也有出错的时候。
作者:
凡间幽灵
时间:
2009-2-11 12:30
你我皆凡人生在人世间
终日奔波苦一刻不得闲
既然不是仙难免有杂念
欢迎技术流的牛人和母鸡以及MJ们来拍砖,呵呵,有BUG并不可怕,有BUG进行修正才会不断进步,逆水行舟不进则退 ^_^
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
