漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-044412
漏洞标题:金山防御微软内核漏洞的版本存在漏洞可被轻松绕过
相关厂商:金山网络
漏洞作者: zeroday-king
提交时间:2013-11-29 19:12
修复时间:2014-02-27 19:13
公开时间:2014-02-27 19:13
漏洞类型:权限提升
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-29: 细节已通知厂商并且等待厂商处理中
2013-11-29: 厂商已经确认,细节仅向厂商公开
2013-12-02: 细节向第三方安全合作伙伴开放
2014-01-23: 细节向核心白帽子及相关领域专家公开
2014-02-02: 细节向普通白帽子公开
2014-02-12: 细节向实习白帽子公开
2014-02-27: 细节向公众公开
简要描述:
微软最新NDProxy驱动内核漏洞(CVE-2013-5065), 金山毒霸宣布推出可以防御漏洞攻击的最新版本,不过貌似这次跟风有些匆忙,可以被攻击者轻易绕过防御。
详细说明:
仔细分析下NdProxy驱动就知道,可以触发这个漏洞的设备控制码有两个:0x8FFF23C8和0x8FFF23CC,这两个控制码是一模一样的。
但是金山的拦截驱动KisKnl.sys显然只拦截第一个,华丽丽滴无视了第二个
测试的驱动版本是KisKnl.sys 28号晚上发布的拦截漏洞最新版(http://bbs.duba.net/forum.php?mod=viewthread&tid=22953419):
漏洞证明:
*((DWORD *)((PCHAR)InputBuffer+0x14)) = 0x7030125;
bResult = DeviceIoControl(hDevice, 0x8fff23cc, InputBuffer, 0x400, InputBuffer, 0x80, &junk, 0);
和0x8FFF23C8用法一样,使用后BSOD或内核代码执行
蓝屏图:
修复方案:
有能力修复就尽快修吧。
版权声明:转载请注明来源 zeroday-king@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2013-11-29 19:54
厂商回复:
收到,我们将尽快联合业务团队进行确认测试,并推动业务部门进行修复与升级。
最新状态:
2013-12-10:目前最新版本,已经修复。非常感谢