鬼仔's Blog

作者：MJ0011

微点主动防御是一款号称使用行为分析技术实时保护的主动防御软件。

其核心驱动MP110001.SYS最新版本存在本地权限提升漏洞，可导致任何权限的用户在本地提升权限到SYSTEM权限，绕过UAC等保护。同时也可以利用此漏洞注入到任何受保护进程，从而穿透防火墙、主动防御软件。

出问题的组件：MP110001.sys,版本号：1.2.10006 CheckSum = 0x00009F60 TimeStamp = 0x43620505
阅读全文 »

作者：MJ0011

继续爆三个漏洞，微点一直没反映啊~看来都度假去了 这样可不行啊 病毒木马可是不休假的哦 O(∩_∩)O哈哈~

(1).微点对NtWriteFile-> Call ObReferenceObjectByHandle的HOOK中未对参数做有效性检查，可导致任意权限用户在安装了微点的系统上可引发系统蓝屏

存在漏洞的文件:mp110011.sys,版本:1.2.10237,CheckSum = 0x0002291a , TimeStamp = 0x488944d9

微点hook了NtWriteFile-> Call ObReferenceObjectByHandle并对其中的FileHandle进行检查，检查对应的设备对象->驱动对象是否是Disk，如果是的话，判断写入的偏移，进行阻截或放行
阅读全文 »

作者：MJ0011

国庆的早晨啊~再多爆料几个有问题的函数~~

参考文一：http://hi.baidu.com/mj0011/blog/item/e9bcc4390265fbf53a87ceb8.html

除了文一提到的两个函数~微点的内核驱动中实际存在着大量这样的问题

再提两个函数，也省得微点的工程师累死累活的找了~学习雷锋啊好榜样~~

(1). 对ZwDeleteValueKey 的HOOK函数对用户态参数没有做检查，导致任何权限用户在安装了微点的系统上可引发蓝屏

处理函数位于mp110009.sys, 版本:1.2.10045 ,CheckSum = 0xCC78 , TimeStamp = 0x48478FCF
阅读全文 »

作者：MJ0011

国庆无聊在家，下了一个0924版的微点，从它的HOOK一个个看起，看了4个就发现两个有问题~~再看看，发现有问题的函数几乎是一半对一半~ 多达十几处。还只是简单看看地结果~太挫了

现在说一说其中两个~微点赶紧改吧：D

(1),驱动对ZwOpenEvent的HOOK存在拒绝服务安全漏洞，任何权限用户可以使安装了微点的系统蓝屏

问题在于微点的Hook驱动mp110013.sys对用户态调用ZwOpenEvent传入参数检查不充分导致的
阅读全文 »