当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044412

漏洞标题:金山防御微软内核漏洞的版本存在漏洞可被轻松绕过

相关厂商:金山网络

漏洞作者: zeroday-king

提交时间:2013-11-29 19:12

修复时间:2014-02-27 19:13

公开时间:2014-02-27 19:13

漏洞类型:权限提升

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-29: 细节已通知厂商并且等待厂商处理中
2013-11-29: 厂商已经确认,细节仅向厂商公开
2013-12-02: 细节向第三方安全合作伙伴开放
2014-01-23: 细节向核心白帽子及相关领域专家公开
2014-02-02: 细节向普通白帽子公开
2014-02-12: 细节向实习白帽子公开
2014-02-27: 细节向公众公开

简要描述:

微软最新NDProxy驱动内核漏洞(CVE-2013-5065), 金山毒霸宣布推出可以防御漏洞攻击的最新版本,不过貌似这次跟风有些匆忙,可以被攻击者轻易绕过防御。

详细说明:

仔细分析下NdProxy驱动就知道,可以触发这个漏洞的设备控制码有两个:0x8FFF23C8和0x8FFF23CC,这两个控制码是一模一样的。

c3abc27f4fb4ca647160415b15fd3941.jpg


但是金山的拦截驱动KisKnl.sys显然只拦截第一个,华丽丽滴无视了第二个
测试的驱动版本是KisKnl.sys 28号晚上发布的拦截漏洞最新版(http://bbs.duba.net/forum.php?mod=viewthread&tid=22953419):

20583f85f21a01cac7bd1c871f0a0210.jpg


漏洞证明:

*((DWORD *)((PCHAR)InputBuffer+0x14)) = 0x7030125;
bResult = DeviceIoControl(hDevice, 0x8fff23cc, InputBuffer, 0x400, InputBuffer, 0x80, &junk, 0);
和0x8FFF23C8用法一样,使用后BSOD或内核代码执行
蓝屏图:

0383a040281999de46d7b3e0ab3274cb.jpg

修复方案:

有能力修复就尽快修吧。

版权声明:转载请注明来源 zeroday-king@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-11-29 19:54

厂商回复:

收到,我们将尽快联合业务团队进行确认测试,并推动业务部门进行修复与升级。

最新状态:

2013-12-10:目前最新版本,已经修复。非常感谢