正文

Integrity Protection Driver文件保护可被符号链接绕过漏洞

admin
admin V管理员 /0 评论 /7 阅读
1231
此篇文章发布距今已超过1226天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Integrity Protection Driver文件保护可被符号链接绕过漏洞

  • CNNVD编号:CNNVD-200312-350
    • <!--
  • 危害等级: 低危-->
  • 危害等级: 低危
  • CVE编号: CVE-2003-1246
  • 漏洞类型: 其他
  • 发布时间: 2003-01-03
  • 威胁类型: 本地
  • 更新时间: 2006-01-17
  • 厂        商: pedestal_software
  • 漏洞来源: crazylord※ crazylo...

漏洞简介

Pedestal Software的完整性保护驱动(IPD)是一款开放源代码设备驱动,设计用于禁止新服务和驱动安装,防止已经存在的驱动被篡改。 Pedestal Software IPD对符号链接处理不正确,本地攻击者可以利用这个漏洞绕过保护,使用恶意文件覆盖驱动文件。 为了防止恶意模块装载到内核中,IPD对winnt/system32/drivers目录进行保护,因此不能修改此目录中的任意文件,这通过使用ZwCreatFile()和ZwOpenFile()函数完成,并使用字符串对比检查文件路径。 但是,使用NtCreateSymbolicLinkObject()函数,攻击者可以欺骗IPD,通过建立符号链接相关某个目录到IPD保护的目录(如winnt/system32/drivers),就可以绕过IPD保护,通过新的符号链接访问驱动目录。

漏洞公告

厂商补丁: Pedestal Software ----------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Pedestal Software Upgrade Integrity Protection Driver 1.4

http://www.pedestalsoftware.com/download/ipd.zip

参考网址

来源: BID 名称: 6511 链接:http://www.securityfocus.com/bid/6511 来源: XF 名称: ipd-ntcreatesymboliclinkobject-subs-symlink(10979) 链接:http://www.iss.net/security_center/static/10979.php 来源: BUGTRAQ 名称: 20030103 Another way to bypass Integrity Protection Driver ('subst' vuln) 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0018.html 来源: BUGTRAQ 名称: 20030103 Pedestal Software Security Notice 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0017.html 来源:NSFOCUS 名称:4143 链接:http://www.nsfocus.net/vulndb/4143

受影响实体

  • Pedestal_software Integrity_protection_driver:1.3  
    <!--
    2000-1-1
    -->
  • Pedestal_software Integrity_protection_driver:1.2  
    <!--
    2000-1-1
    -->

补丁

    暂无