CVE-2019-1132:Windows 0 day破绽在野发明 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2019-1132:Windows 0 day破绽在野发明

申博_安全预警 申博 59次浏览 未收录 0个评论

2019年6月,ESET的研究人员发明了一同针对东欧国家的收集进击事宜,进击者应用了Microsoft Windows中的当地权限提拔破绽CVE-2019-1132。应用历程的中间是win32k.sys模块中的NULL指针解援用(pointer dereference)。在发明并剖析后,ESET向微软平安响应中间提交了报告。该破绽现已被微软修复并宣布了响应补丁。

该破绽影响以下Windows版本以下:

· Windows 7 32位体系Service Pack 1

· Windows 7(基于x64的体系)Service Pack 1

· Windows Server 2008 32位体系Service Pack 2

· Windows Server 2008(基于Itanium的体系)Service Pack 2

· Windows Server 2008(基于x64的体系)Service Pack 2

· Windows Server 2008 R2(基于Itanium的体系)Service Pack 1

· Windows Server 2008 R2(基于x64的体系)Service Pack 1

应用历程

与近年来表露的很多其他win32k.sys破绽一样,进击者应用的也是弹出式菜单对象。应用历程起首建立两个窗口,离别用于第一阶段和第二阶段,在第一个窗口中建立弹出式菜单对象,并经由过程CreatePopupMenu和AppendMenu函数追加菜单项,另外还需设置WH_CALLWNDPROC和EVENT_SYSTEM_MENUPOPUPSTART钩子。

接着经由过程TrackPopupMenu函数来显现菜单。此时,连接到EVENT_SYSTEM_MENUPOPUPSTART的代码将被实行——经由过程向菜单发送MN_SELECTITEM,MN_SELECTFIRSTVALIDITEM和MN_OPENHIERARCHY音讯序列来翻开菜单中的第一个可用项。

下一步关于触发此破绽异常症结。当初始菜单已建立、子菜单正准备建立时,进击者必需实时捕捉这一时候,为此需要在WH_CALLWNDPROC钩子中处置惩罚WM_NCCREATE音讯。当应用代码检测到体系处于这类状况时,它会向第一个菜单发送MN_CANCELMENUS (0x1E6)音讯来作废该菜单,然则子菜单仍会被建立。

假如我们在内核形式下搜检这个子菜单对象,将看到tagPOPUPMENU – >ppopupmenuRoot = 0,这类状况能让进击者将该内核构造中的元素用作空指针解援用。接着应用代码会在地点0x0处分派一个新页面,内核将把此地点看成tagPOPUPMENU对象(参见图1)。

CVE-2019-1132:Windows 0 day破绽在野发明

图1. tagPOPUPMENU的内核构造

从进击装备到进击人脑,医疗平安奄奄一息

医疗安全重于泰山 《时间简史》里有这样一段话: 如果有10%的利润,黑客就保证不会消停;如果有20%的利润,黑客就会异常活跃;如果有50%的利润,黑客就会铤而走险;为了100%的利润,黑客就敢践踏一切人间法律” 这句话即便放在救死扶伤的医疗数据领域一样适用。 试想两个场景: 医生开具药房不以药品疗效为先,哪个药商给的提成高开哪个。 一家医院的信息系统遭到入侵崩溃,急诊瘫痪、手术延期,感冒发烧开不出药。 在利益驱使下,医疗早就成为了黑客虎视眈眈的一块肥肉。 医疗系统的价值其实不难理解。 首先,普通人在医疗方面的投入是不计成本的,甚至是砸锅卖铁。 而一旦医药公司掌握了患者信息,就能将其应用于定向推广,尤其针对患有疑难杂症的患者。 打个比方。 病人在医院就诊后病情不见好转,正在各路求医时,收到短信: **医院专治**病症,治愈率高达80% 去还是不去?面对重获健康的机会,结

再今后运用第二个窗口。此阶段的重要目的是翻转第二个窗口的tagWND构造中的bServerSideWindowProc位,使其在内核形式下实行WndProc历程。

为了实行上述操纵,进击者挪用了user32.dll库中的非导出函数HMValidateHandle来猎取第二个窗口中tagWND构造的内核内存地点,然后在NULL页面处制造一个假的tagPOPUPMENU对象,并将MN_BUTTONDOWN音讯发送到子菜单。

今后内核最终将实行win32k!xxxMNOpenHierarchy函数。

CVE-2019-1132:Windows 0 day破绽在野发明

图2. win32k!xxxMNOpenHierarchy函数的反汇编代码

此函数再将NULL页面上设想的对象传递给win32k!HMAssignmentLock。 bServerSideWindowProc位是在win32k!HMDestroyUnlockedObject函数内部设置的,win32k!HMDestroyUnlockedObject函数则位于win32k!HMAssignmentLock内部的几个更深层的挪用中。

CVE-2019-1132:Windows 0 day破绽在野发明

图3. win32k!HMDestroyUnlockedObject函数的反汇编代码

到此步算是万事俱备了。今后进击者能够将特定音讯发送到第二个窗口,以便在内核形式下实行WndProc。

应用代码的末了一步是将体系令牌替代当前历程的令牌。

而微软最新宣布的补丁中,增加了win32k!xxxMNOpenHierarchy函数中对NULL指针的搜检步骤。

CVE-2019-1132:Windows 0 day破绽在野发明

图4.两个win32k.sys版本之间的代码差别,原始(左)和修补后(右)

结论

该破绽仅适用于较老版本的Windows,由于微软从Windows 8最先不允许用户历程映射到NULL页面,还将此减缓步伐反向移植到64位的Windows 7。

依然运用32位Windows 7 Service Pack 1的人应斟酌更新到最新版本,由于它的扩大支撑将于2020年1月14日完毕。这意味着Windows 7用户将没法取得症结的平安更新,相似如许的破绽今后就很难修补了。

原文地点: https://www.4hou.com/vulnerable/19153.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2019-1132:Windows 0 day破绽在野发明
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址