当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077814

漏洞标题:绕过360核晶引擎再次强制结束360进程(x64)

相关厂商:奇虎360

漏洞作者: 木马游民

提交时间:2014-09-29 18:11

修复时间:2014-12-28 18:12

公开时间:2014-12-28 18:12

漏洞类型:拒绝服务

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-29: 细节已通知厂商并且等待厂商处理中
2014-09-30: 厂商已经确认,细节仅向厂商公开
2014-10-03: 细节向第三方安全合作伙伴开放
2014-11-24: 细节向核心白帽子及相关领域专家公开
2014-12-04: 细节向普通白帽子公开
2014-12-14: 细节向实习白帽子公开
2014-12-28: 细节向公众公开

简要描述:

绕过360核晶引擎再次强制结束360进程,打脸成功、
请不要再忽略了。你那个核晶引擎有多少人会打开你自己还不清楚吗?

详细说明:

绕过360核晶引擎再次强制结束360进程,打脸成功、
上午提交了一个64位下kill360的小玩具
但是没过多久我就被打脸了
360说有个核晶引擎。
我们先不说这个牛逼哄哄玩意儿有几个人开了。
估计小白连怎么打开都不知道、
小菜我现在蛋有点痛。不是因为别的,只是小菜我辛辛苦苦码了这么久的字,你它喵就给我0rank?
------------------------------------
1.利用傀儡进程绕过360那个进程防护的思路,在开启核晶引擎后失效了。
2.但是我发现x64上即使开了核晶引擎还是防不住模拟点击。于是我修改demo执行流程为:
运行后创建360tray.exe的快捷方式到桌面(带" /disablesp 1"参数)。并自定义图标为一个独特的纯色图标(方便找图。避免和其他图标重复).然后找图取图标的屏幕坐标并模拟双击。果然不出我所料。自我保护关闭对话框再次跳出。然后找图取确定按钮的坐标,再次模拟点击。
3.最后360的自我保护又从有到无了、调用taskkill.exe即可把360所有进程杀掉.

漏洞证明:

demo下载地址:http://pan.baidu.com/s/1qWEzXNm(解压密码123,内含旧版和新版)
演示视频下载地址:http://pan.baidu.com/s/170UCY

修复方案:

和谐这个连我这种小菜都能想出思路.所以请你们不要继续忽略了。

版权声明:转载请注明来源 木马游民@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-09-30 13:24

厂商回复:

感谢白帽子的报告,此问题确认是针对x64位的主动防御一处bug引起,导致x64系统上模拟点击防护可以被绕过,我们将尽快修复此问题。
另外,关于白帽子提及的核晶引擎默认开启问题,我们已有计划在近期逐步对用户默认开启核晶引擎,增强x64系统上的安全防护强度,谢谢白帽子的提醒。

最新状态:

暂无