微点交流论坛

标题: 【已解决】微点主动防御 1.2.10580.0169 内核拒绝服务漏洞 [打印本页]

作者: tongming133 时间: 2009-2-9 00:18 标题: 【已解决】微点主动防御 1.2.10580.0169 内核拒绝服务漏洞

微点主动防御是一款号称具有识别未知木马能力的主动防御软件

微点主动防御的最新版本1.2.10580.0169(20090205)中存在内核拒绝服务漏洞，可导致任意权限用户在安装了微点主动防御的系统上可引发蓝屏，从而导致拒绝服务攻击或为进一步攻击做准备

出问题的组件：MP110011.sys 版本：1.3.10050.0，CheckSum = 0x00014f3f, TimeStamp = 0x49534981

微点主动防御在使用对ntoskrnl!NtWriteFile->ObReferenceFileObjectForWrite的CALL HOOK中，通过使用堆栈回溯的方式取得NtWriteFile的参数ByteOffset
只使用了MmIsAddressValid函数对ByteOffset的首字节地址做了有效性判断，就直接使用了这个实际长达8个字节的Buffer,最终导致了漏洞的发生

下面是攻击示例代码,运行此代码后，装有1.2.10580.0169版本微点的机器上将立即蓝屏
/已屏蔽源代码/

摘自红色黑客联盟(www.7747.net) 原文：http://www.]/已屏蔽//200902/31647.html

[ Last edited by Legend on 2009-2-16 at 15:04 ]

作者: tongming133 时间: 2009-2-10 22:04 标题: 告微点工程师

关于这个漏洞已在微点程序版本 1.2.10580.0170中测试通过，请微点技术人员解决此漏洞

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn