Integrity Protection Driver文件保护可被符号链接绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203158 漏洞类型 其他
发布时间 2003-01-03 更新时间 2006-01-17
CVE编号 CVE-2003-1246 CNNVD-ID CNNVD-200312-350
漏洞平台 N/A CVSS评分 2.1
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-350
|漏洞详情
PedestalSoftware的完整性保护驱动(IPD)是一款开放源代码设备驱动,设计用于禁止新服务和驱动安装,防止已经存在的驱动被篡改。PedestalSoftwareIPD对符号链接处理不正确,本地攻击者可以利用这个漏洞绕过保护,使用恶意文件覆盖驱动文件。为了防止恶意模块装载到内核中,IPD对winnt/system32/drivers目录进行保护,因此不能修改此目录中的任意文件,这通过使用ZwCreatFile()和ZwOpenFile()函数完成,并使用字符串对比检查文件路径。但是,使用NtCreateSymbolicLinkObject()函数,攻击者可以欺骗IPD,通过建立符号链接相关某个目录到IPD保护的目录(如winnt/system32/drivers),就可以绕过IPD保护,通过新的符号链接访问驱动目录。
|参考资料

来源:BID
名称:6511
链接:http://www.securityfocus.com/bid/6511
来源:XF
名称:ipd-ntcreatesymboliclinkobject-subs-symlink(10979)
链接:http://www.iss.net/security_center/static/10979.php
来源:BUGTRAQ
名称:20030103AnotherwaytobypassIntegrityProtectionDriver('subst'vuln)
链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0018.html
来源:BUGTRAQ
名称:20030103PedestalSoftwareSecurityNotice
链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0017.html
来源:NSFOCUS
名称:4143
链接:http://www.nsfocus.net/vulndb/4143