2345安全卫士某驱动运用漏洞
2345安全卫士采用最新的云计算技术以及全新的第三代查杀引擎,5重环绕式系统防护有效查杀各类新型流行木马。占用电脑磁盘空间小,闪电查杀更快更安全。
2345安全卫士某驱动存在可提权的任意地址写入漏洞.
2345安全卫士某驱动的IRP_MJ_DEVICE_CONTROL分发例程没有校验调用者Token, 也没有严格检验输入输出参数,导致出现可提权(user->system)、任意地址写入、可利用的内核漏洞.
在WINXPsp3x86上,安装官网的2345安全卫士,创建普通用户test,切换到test用户,执行exploit样本e2345.exe,explorer启动的e2345.exe的用户名变成了system, 见下图
解决方案:
1. 严格校验调用者Token是否是Admin;
2. 严格检验输入输出参数.
2345安全卫士友情提醒:建议每7日进行漏洞修复,及时修复漏洞可保证系统安全。
……