【微软漏洞分析】MS10-015 Windows 内核异常处理程序漏洞(CVE-2010-0232)

最新推荐文章于 2024-08-18 17:32:31 发布
最新推荐文章于 2024-08-18 17:32:31 发布
阅读量507 收藏
点赞数
分类专栏: 微软漏洞分析 文章标签: microsoft windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/127610456
版权
本文详细分析了微软MS10-015公告中的Windows内核异常处理程序漏洞(CVE-2010-0232),特别关注了该漏洞在Windows 7 32位系统中的存在情况,并对apphelp.dll和kernel32.dll中的关键函数进行了更新前后的对比,揭示了补丁如何修复问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

MS10-015

摘要

我们这里分析的是 Windows 内核异常处理程序漏洞 - CVE-2010-0232

网上常说的MS10-015是Windows 内核双重释放漏洞 - CVE-2010-0233,很少有人分析这个0232,实际上微软是把这两个漏洞共同定义为MS10-015。

官方说明里面写着:

  1. windows 7 32位才有这个CVE-2010-0232漏洞,并且windows 7 32位没有CVE-2010-0233这个漏洞
  2. windows7 64位不受这两个漏洞影响

补丁分析

我们这里以windows 7的x86的补丁分析,补丁解开之后的目录列表如下:
补丁解开之后的文件列表
重点查看补丁文件为:

  • \x86\a…ence-infrastructure_6.1.7600.16481
    • apphelp.dll
  • \x86\kernel32_6.1.7600.16481
    • kernel32.dll

apphelp.dll

主要包括三个更新函数:

  1. ApphelpCheckModule
  2. InternalCheckRunApp
  3. SdbIsValidQueryResultLight

ApphelpCheckModule

更新前

int __stdcall ApphelpCheckModule(const WCHAR *a1, int a2, int a3, int a4, int a5, char a6)
{
   
  int v6; // eax
  char v8; // [esp+0h] [ebp-1F8h]
  char v9; // [esp+4h] [ebp-1F4h]
  int v10; // [esp+Ch] [ebp-1ECh] BYREF
  _UNICODE_STRING NtName; // [esp+10h] [ebp-1E8h] BYREF
  PCWSTR DosName; // [esp+18h] [ebp-1E0h]
  int v13; // [esp+1Ch] [ebp-1DCh] BYREF
  int v14; // [esp+20h] [ebp-1D8h]
  PVOID P; // [esp+24h] [ebp-1D4h]
  int v16; // [esp+28h] [ebp-1D0h]
  int v17[114]; // [esp+2Ch] [ebp-1CCh] BYREF
  DosName = a1;
  NtName.Length = 0;
  *(_DWORD *)&NtName.MaximumLength = 0;
  HIWORD(NtName.Buffer) = 0;
  v14 = 1;
  v13 = 0;
  v10 = 456;
  v16 = 0;
  if ( gdwInfrastructureFlags >= 0 )
    v6 = CheckAppcompatInfrastructureFlags() & 1;
  else
    v6 = gdwInfrastructureFlags & 1;
  if ( !v6 )
  {
   
    if ( RtlDosPathNameToRelativeNtPathName_U(DosName, &NtName, 0, 0)
      && BaseCheckAppcompatCacheEx(NtName.Buffer, -1, 0, &v13, &v10, v17) )
    {
   
      if ( (v13 & 0x100) != 0 )
      {
   
        v16 = 1;
      }
      else
      {
   
        if ( (v13 & 0x200) == 0 )
          goto LABEL_8;
        memset(v17, 0, sizeof(v17));
      }
    }
    P = (PVOID)SdbInitDatabaseEx(0, 0, 332);
    if ( P )
    {
   
      if ( v16 && !SdbIsValidQueryResultLight(v17) )
      {
   
        v16 = 0;
        memset(v17, 0, sizeof(v17));
      }
      v14 = ApphelpQueryExe(P, DosName, a2, a6, v17, v16);
      if ( !a5 )
      {
   
        v17[43] = 0;
        memset(&v17[32], 0, 0x20u);
      }
      if ( v14 && a3 )
        ApphelpFixExe((int)P, (wchar_t *)DosName, (int)v17, a4, a6);
      SdbReleaseDatabase(P);
    }
    else if ( g_iShimDebugLevel )
    {
   
      ShimDbgPrint(1, (int)"ApphelpCheckExe", "Failed to initialize database.\n", v8, v9);
    }
  }
LABEL_8:
  RtlFreeUnicodeString(&NtName);
  return v14;
}

更新后

int __stdcall ApphelpCheckModule(const WCHAR *a1, int a2, int a3, int a4, int a5, char a6)
{
   
  int v6; // eax
  void *v8; // ebx
  char v9; // [esp+0h] [ebp-1F4h]
  char v10; // [esp+4h] [ebp-1F0h]
  int v11; // [esp+Ch] [ebp-1E8h] BYREF
  _UNICODE_STRING NtName; // [esp+10h] [ebp-1E4h] BYREF
  int v13; // [esp+18h] [ebp-1DCh]
  int v14; // [esp+1Ch] [ebp-1D8h] BYREF
  int v15; // [esp+20h] [ebp-1D4h]
  PCWSTR DosName; // [esp+24h] [ebp-1D0h]
  int v17[114]; // [esp+28h] [ebp-1CCh] BYREF
  DosName = a1;
  NtName.Length = 0;
  *(_DWORD *)&NtName.MaximumLength = 0;
  HIWORD(NtName.Buffer) = 0;
  v15 = 1;
  v14 = 0;
  v11 = 456;
  v13 = 0;
  if ( gdwInfrastructureFlags >= 0 )
    v6 = CheckAppcompatInfrastructureFlags() & 1;
  else
    v6 = gdwInfrastructureFlags & 1;
  if ( !v6 )
  {
   
    if ( RtlDosPathNameToRelativeNtPathName_U(DosName, &NtName, 0, 0)
      && BaseCheckAppcompatCacheEx(NtName.Buffer, -1, 0, &v14, &v11, v17) )
    {
   
      if ( (v14 & 0x100) != 0 )
      {
   
        v13 = 1;
      }
      else
      {
   
        if ( (v14 & 0x200) == 0 )
          goto LABEL_8;
        memset(v17, 0, sizeof(v17));
      }
    }
    v8 = (void *)SdbInitDatabaseEx(0, 0, 332);
    if ( v8 )
    {
   
      v15 = ApphelpQueryExe(v8, DosName, a2, a6, v17, v13);
      if ( !a5 )
      {
   
        v17[43] = 0;
        memset(&v17[32], 0, 0x20u);
      }
      if ( v15 && a3 )
        ApphelpFixExe((int)v8, (wchar_t *)DosName, (int)v17, a4, a6);
      SdbReleaseDatabase(v8);
    }
    else if ( g_iShimDebugLevel )
    {
   
      ShimDbgPrint(1, (int)"ApphelpCheckExe", "Failed to initialize database.\n", v9, v10);
    }
  }
LABEL_8:
  RtlFreeUnicodeString(&NtName);
  return v15;
}

InternalCheckRunApp

更新前

BOOL __stdcall InternalCheckRunApp(void *a1, int a2, int a3, const WCHAR *a4, WCHAR *a5, int a6, unsigned int *a7, int a8, int a9, _DWORD *a10, _DWORD *a11, _DWORD *a12, int a13, int a14, _WORD *a15, int a16, void *a17, _DWORD *a18, void *a19)
{
   
  _DWORD *v19; // esi
  _DWORD *v20; // esi
  int *v21; // esi
  int v22; // ecx
  int v23; // eax
  int v24; // eax
  char *v26; // eax
  char v27; // di
  PVOID v28; // eax
  unsigned int *v29; // edi
  void *v30; // eax
  unsigned int v31; // edi
  _DWORD *v32; // edi
  int v33; // eax
  _DWORD
最低0.47元/天 解锁文章
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 1308
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
漏洞复现】永恒之蓝 MS17-010 远程溢出漏洞(CVE-2017-0143)
李火火的安全圈
03-07 8969
文章目录声明前言一、漏洞原理简述二、漏洞代码深层解析三、实验步骤四、漏洞补丁总结 声明 本篇文章仅用于技术研究与技术学习,切勿用于非授权下攻击行为,切记! 前言 Windows7 存在 MS17-010 永恒之蓝(远程溢出漏洞) ,该漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码 一、漏洞原理简述 MS17-010漏洞出现在Windows SMB v1中的内核态函数 srv!SrvOs2FeaListToNt 在处理FEA(File Ex
深入解析 Windows 漏洞:识别与防护
m0_50436577的博客
07-03 1320
漏洞是指系统中存在的安全缺陷或弱点,攻击者可以利用这些漏洞进行未授权的操作,如访问、修改或破坏数据。操作系统漏洞:这些漏洞存在于 Windows 内核或核心服务中,可能允许攻击者获得系统级别的访问权限。应用程序漏洞:这些漏洞存在于 Windows 上运行的第三方应用程序中,可能允许攻击者执行恶意代码。网络漏洞:这些漏洞涉及网络通信协议或服务,攻击者可以通过网络利用这些漏洞进行远程攻击。Windows 系统中的安全漏洞是一个不断变化和发展的领域。
windows系统典型漏洞分析
qq_51581716的博客
06-04 2648
由于SHE结构存放在栈中,因此攻击者可以利用栈溢出漏洞,设计特定的溢出数据,将SEH中异常函数的入口地址覆盖为Shellcode的起始地址或可以跳转到Shellcode的跳转指令地址,从而导致程序发生异常时,Windows异常处理机制执行的不是预设的异常处理函数,而是Shellcode。在实际的漏洞利用中,由于动态链接库的装入和卸载等原因,Windows进程的函数栈帧可能发生移位,即Shellcode在内存中的地址是动态变化的,所以上述采用直接赋地址值的简单方式在以后的运行过程中会出现跳转异常。
【原创】Windows 所有程序崩溃漏洞
weixin_30455023的博客
05-06 107
/**************************************/*作者:半斤八兩/*博客:http://cnblogs.com/bjblcracked/*日期:2013-05-0601:11/**************************************只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!受影响平台x86:xpwin7其它平台没测试中枪...
[转译] 更新:MS10-015 安全补丁改变检测逻辑重新发布
微软大中华区安全博客
03-03 1408
《本文转译自 Microsoft Security Response Center 博客文章“Update: MS10-015 security update re-released with new detection logic”》 大家好! 写这篇文章的目的是告诉大家,我们已经修订了 MS10-015 的安装包,使用了新的检测逻辑,可以防止它安装到存在异常状态的系统上。这里所说的异常
Windows内核漏洞Windows内核漏洞Windows平台提权漏洞集合
02-06
Windows内核漏洞 简介 Windows内核漏洞 进攻清单 #安全公告#KB#说明#操作系统 [Windows后台智能传输服务特权提升漏洞](Windows 7/8/10,2008/2012/2016/2019) [Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程执行漏洞,也称为“ Windows SMBv3客户端/服务器远程执行代码漏洞”](Windows 1903/1909 ) [当Win32k组件无法正确处理内存中的对象时,Windows中存在一个特权提升漏洞](Windows 7/8/10/2008
微软漏洞分析MS15-010 CNG 安全功能绕过漏洞 - CVE-2015-0010
重新启程
11-04 765
微软漏洞分析序列,通过补丁分析找出问题点,这个漏洞是一个漏洞攻击面的第一篇文章。
[漏洞挖掘与防护] 02.漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
杨秀璋的专栏
07-14 1074
上一篇文章将详细介绍Windows远程桌面服务漏洞CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文章将详细讲解MS08-067远程代码执行漏洞CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。希望对入门的同学有帮助。
windows内核_Windows内核漏洞利用
weixin_39900468的博客
12-30 241
堆栈缓冲区溢出在第一部分中,我们会从HackSysExtremeVulnerableDriver中的普通堆栈缓冲区溢出开始。当堆栈上存在的缓冲区获取的数据超出其存储容量时(例如,在一个16字节缓冲区中复制20个字节,就可以是字符数组或类似对象),其余数据将写入附近位置,从而有效覆盖或破坏堆栈。其核心思想是控制此溢出,这样我们可以覆盖堆栈上保存的返回地址,并且在执行当前(易受攻击的)函数...
windows常见漏洞分析(二)
jian436的专栏
10-13 1027
漏洞通告】Windows 内核信息泄漏漏洞CVE-2021-31955
爱国小白帽
06-29 2897
漏洞名称 : Windows 内核信息泄漏漏洞 组件名称 : Windows 影响范围 : Windows 10 21h1/20h2/1809/1909/2004 Windows Server 2016 20h2/2004 Windows Server 2019 漏洞类型 : 信息泄漏 利用条件 : 1、用户认证:不需要用户认证 2、触发方式:远程 综合评价 : 1、用户认证:不需要用户认证 2、触发方式:本地 漏洞分析 1 组件****介绍 Microsoft Windows操作系统是美国微软公司研发的一
内核漏洞开发与利用第二篇:Windows内核漏洞开发与利用
最新发布
艰难的活着
08-18 810
这两篇文章,我们了解到了Linux和Windows内核漏洞的开发与利用,涵盖了从漏洞分析、开发到利用的全过程。结合实战代码,以上的示例,你即将掌握内核漏洞成为下一个开发的高级技术。
Windows内核漏洞学习笔记
weixin_41487541的博客
05-13 1004
通常情况下,操作系统的内核程序、驱动程序等都是在0环上运行的。漏洞的攻防一直是此起彼伏的状态,驱动也可以作为病毒木马的载体。此篇仅作为学习记录是自己加深对内核漏洞的理解。 0 驱动程序 0day中的驱动程序exploitme: #include <ntddk.h> #define DEVICE_NAME L"\\Device\\ExploitMe" #define DEVICE_LINK L"\\DosDevices\\ExploitMe" #defi...
Windows内核漏洞学习-UAF
WocW的博客
05-20 961
0x00:前言 本章所提到的漏洞为UAF(释放后利用),这也是目前我所接触到的第一个复杂一点的内核漏洞。参考文章: 传送门 0x01:漏洞原理 NTSTATUS FreeUaFObject() { NTSTATUS Status = STATUS_UNSUCCESSFUL; PAGED_CODE(); __try { if (g_UseAfterFreeObject) { DbgPrint("[+] Freeing UaF Object
Windows内核提权漏洞CVE-2014-4113分析报告
weixin_34218890的博客
03-08 358
百度安全攻防实验室 · 2014/10/23 16:480x00 漏洞背景近日CrowdStrike团队发现Win64bit2008 R2服务器系统上存在可疑攻击行为,并捕获到相关样本。百度安全攻防实验室根据外界放出的poc进行了研究,漏洞成因和利用细节如下。 此类提权漏洞曾经出现在2011年的8个CVE(CVE-2011-1878~CVE-2011-1885),由挪威安全公司Norman的内核...
异常中的异常——借助系统异常处理特例实现匪夷所思的漏洞利用
weixin_34372728的博客
03-08 650
xlab · 2016/04/07 10:11Author:[email protected]0x00 简介内存的读、写、执行属性是系统安全最重要的机制之一。通常,如果要改写内存中的数据,必须先确保这块内存具有可写属性,如果要执行一块内存中的代码,必须先确保这块内存具有可执行属性,否则就会引发异常。然而,Windows系统的异常处理流程中存在一些小小的特例,借助这些特例,就可以知其不可写而写,知其...
windows内核提权漏洞发现与利用
Zlirving_的博客
07-07 1489
漏洞介绍 计算机有个地方叫作缓存区。程序缓存的大小是事先设置好的,若用户输入数据的大小超过缓存区的大小则会发生溢出   漏洞影响 系统内核溢出漏洞提权是一种通用的提权方法,攻击者通常可以使用这类方法绕过系统的所有安全限制。攻击者利用漏洞的关键是目标系统没有及时安装补丁,就会让攻击者有机可乘。如果攻击者想要通过这种方法提权,就必须找出目标中的0day漏洞   漏洞发现 0x01 手动执行命令发现缺失补丁 通过各种手段获取目标主机shell后,查看当前权限 通过systeminfo查看机器
Windows内核EPATHOBJ 0day漏洞
weixin_30362233的博客
06-14 136
漏洞是通过对PATHALLOC()进行内存压力测试爆出的,首先利用PATHREC>指向相同的的用户空间PATHREC EPATHOBJ::bFlatten它会”自旋”进行无限链表遍历。 如:PathRecord->next = PathRecord; 虽然它会自旋,但它会通过另一个线程池来打补丁(pprFlattenRec)到列表中的节点(因为它是在用户空间)。 首先,创...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值