微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【已解决】微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞  

 15  1/2  1  2  > 
作者:
标题: 【已解决】微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞
mj0011_2
禁止发言





积分 86
发帖 109
注册 2008-12-14
#1  【已解决】微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞

微点主动防御 1.2.10580.0169(及以下版本) 内核拒绝服务漏洞

微点主动防御是一款号称具有识别未知木马能力的主动防御软件

微点主动防御的最新版本1.2.10580.0169(20090205)中存在内核拒绝服务漏洞,可导致任意权限用户在安装了微点主动防御的系统上可引发蓝屏,从而导致拒绝服务攻击或为进一步攻击做准备

出问题的组件:MP110011.sys 版本:1.3.10050.0,CheckSum = 0x00014f3f, TimeStamp = 0x49534981

微点主动防御在使用对ntoskrnl!NtWriteFile->ObReferenceFileObjectForWrite的CALL HOOK中,通过使用堆栈回溯的方式取得NtWriteFile的参数ByteOffset
只使用了MmIsAddressValid函数对ByteOffset的首字节地址做了有效性判断,就直接使用了这个实际长达8个字节的Buffer,最终导致了漏洞的发生

下面是攻击示例代码,运行此代码后,装有1.2.10580.0169版本微点的机器上将立即蓝屏

**可疑代码暂作屏蔽处理,下次请直接发到virus@micropoint.com.cn**
下载漏洞演示程序请到

http://mj0011.ys168.com

漏洞演示目录下bsod_mp_x.rar

[ Last edited by Legend on 2009-2-16 at 15:03 ]

※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-5 20:57
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

谢谢楼主的反馈,我们会根据您的描述信息具体测试分析。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-2-5 22:17
查看资料  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#3  

额。。。。。。。。。。
又是mj0011........................
语气还是那么屌...........
哎,没办法,一般牛人都是这样....

[ Last edited by mamsds on 2009-2-7 at 16:56 ]

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-2-6 08:27
查看资料  发送邮件  发短消息  QQ   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#4  

哇,欢迎欢迎!

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-6 09:51
查看资料  发短消息   编辑帖子
太挫了
新手上路





积分 3
发帖 3
注册 2009-1-25
#5  

路过顺便顶下MJ。

****已屏蔽***

[ Last edited by Legend on 2009-2-9 at 10:56 ]

※ ※ ※ 本文纯属【太挫了】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-6 13:06
查看资料  发送邮件  发短消息   编辑帖子
燕赵之士
高级用户




积分 658
发帖 658
注册 2008-11-27
#6  

微点现在已升级到1.2.10580.0170了,不知是否能防住这个漏洞没?

※ ※ ※ 本文纯属【燕赵之士】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

人到无求品自高
2009-2-7 11:55
查看资料  发送邮件  发短消息  QQ   编辑帖子
alvinzhong
新手上路




积分 49
发帖 49
注册 2007-5-16
#7  

厉害
看来要多多学习了
呵呵

※ ※ ※ 本文纯属【alvinzhong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-7 20:28
查看资料  发送邮件  发短消息  QQ   编辑帖子
MJ是我弟弟
新手上路





积分 31
发帖 47
注册 2008-12-29
#8  

我弟弟功底还是那么好,行。哥哥支持你


※ ※ ※ 本文纯属【MJ是我弟弟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-9 10:05
查看资料  发送邮件  发短消息   编辑帖子
mj0011_2
禁止发言





积分 86
发帖 109
注册 2008-12-14
#9  



  Quote:
Originally posted by 燕赵之士 at 2009-2-7 11:55:
微点现在已升级到1.2.10580.0170了,不知是否能防住这个漏洞没?

170并未修复此漏洞

※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-9 10:46
查看资料  发送邮件  发短消息   编辑帖子
hu1987
注册用户





积分 174
发帖 162
注册 2007-11-29
#10  



  Quote:
Originally posted by mj0011_2 at 2009-2-9 10:46:


170并未修复此漏洞

mj,mj,难道这就是传说中的mj吗?

※ ※ ※ 本文纯属【hu1987】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我的良心。。天地可鉴!!
2009-2-9 16:07
查看资料  发送邮件  发短消息   编辑帖子
 15  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号