mj0011 发布于 05月02, 2020

Windows 10 20H1.19577开始System进程内Ntdll的一点变化

背景最近为了解决一个兼容问题,看了下Windows 10 20H1的内核,发现了一处有点意思的改动。简单来说, ntdll.dll过去映射在System进程以及其他所有进程内的时候,都是以可执行页面进行映射的。但从19577开始,在System进程内,NTDLL开始映射为只读页面,而在其他所有进程内,NTDLL仍映射为可执行页面。初步检查VADs这点可以用Windbg来印证:切换到System进程...

阅读全文 »

mj0011 发布于 11月15, 2015

Edge Sandbox绕过后续及Windows 10 TH2新安全特性

在11月6日的韩国PoC(Power of Community)安全会议上,笔者介绍了一些Windows 10 RTM中的一些新安全特性,以及他们在过去的TP版本中发生的安全问题,同时,笔者还重点介绍了一个Windows 10 Edge沙箱的逃逸漏洞,以及如何将其(结合一个RCE漏洞)组装成彻底攻破Edge浏览器的方法和演示,包括笔者同微软长达半年沟通最终促成他们决定修复漏洞的过程。

因为这个漏洞目前仍然是未修复的0day状态,在微软的要求下, 在PoC的演讲中笔者对关键部分做了一些mask,议题Slides也并未公开,因此这里也不会过多讨论这个漏洞。

阅读全文 »

mj0011 发布于 09月16, 2015

Windows10 Mount Point Mitigation & MS15-090绕过

Symbolic Link漏洞简单背景介绍

Symbolic Link是微软Windows系统上一项关键机制,从Windows NT3.1开始引入对象和注册表Symbolic Link后,微软从Windows2000开始也引入了NTFS Mount Point和Directory Juntions,这些机制对于熟悉Windows内部机理的技术人员并不陌生,在著名的Windows Internals系列中,也有介绍这些机制。在过去,安全人员利用Symbolic Link来攻击系统安全机制或安全软件,也并不少见。

阅读全文 »

mj0011 发布于 07月13, 2015

Hacking Team攻击代码分析Part5: Adobe Font Driver内核权限提升漏洞第二弹+Win32k KALSR绕过漏洞

作者:360Vulcan Team成员: MJ0011、pgboy

前言

继360Vulcan上周分析了Hacking Team泄露信息中曝光的三个Flash漏洞和一个Adobe Font Driver内核漏洞后(链接见文后)。 Hacking Team泄露信息中仍在不断被发现存在新的攻击代码和0day漏洞。7月12日,Twitter上安全研究人员@vlad902公布了Hacking Team的邮件(https://wikileaks.org/hackingteam/emails/emailid/974752)中可能的一处Windows权限提升漏洞,并将其攻击代码上传到Github上(https://github.com/vlad902/hacking-team-windows-kernel-lpe)。

经过我们的分析,该攻击代码中包含了两个Windows内核模式驱动的0day漏洞,其中一个是针对Windows内核驱动Win32k.sys的一处安全特性(KASLR)的绕过漏洞,另一个是针对Adobe字体驱动(atmfd.dll)的一处内核池溢出引发的内核代码执行漏洞。

阅读全文 »

mj0011 发布于 05月15, 2015

VENOM "毒液"漏洞分析(qemu kvm CVE‐2015‐3456)

作者:progmboy、noirfate、cyg07

漏洞简介

CrowdStrike的Jason Geffner发现开源计算机仿真器QEMU中存在一个和虚拟软盘控制器相关的安全漏洞,代号VENOM,CVE编号为CVE-2015-3456。利用此漏洞攻击者可以在有问题的虚拟机中进行逃逸,并且可以在宿主机中获得代码执行的权限。更多详情见作者博客[1]

阅读全文 »

mj0011 发布于 05月13, 2015

谈谈15年5月修复的三个0day

北京时间2015年5月12日, 微软推送了5月的补丁日补丁,包含IE、Windows内核、Windows内核驱动、Office等多个组件的安全更新。

本次补丁日修复了360Vulcan Team的Hao linan报告的Internet Explorer中存在的ASLR绕过0day漏洞: CVE-2015-1685(https://technet.microsoft.com/en-us/library/security/MS15-043),同时,本月修复的另外两个0day漏洞,MS15-052中修复的Windows内核安全特性绕过漏洞:CVE-2015-1674 (https://technet.microsoft.com/en-us/library/security/MS15-052)和MS15-051中修复的Windows内核模式驱动权限提升漏洞:CVE-2015-1701(https://technet.microsoft.com/en-us/library/security/MS15-051) 也引起了我们的注意。

阅读全文 »

mj0011 发布于 04月16, 2015

MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞分析

前言在4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。这是对于服务器系统影响...

阅读全文 »

mj0011 发布于 01月25, 2015

Windows10安全增强:Build 9926引入的两个字体安全特性

概要

微软在北京时间2015年1月22日,公布了其新一代操作系统Windows 10的新技术预览版,并在随后的北京时间1月24日向公众开放了该预览版本的下载(Build:9926)。在这个新的Windows10预览版中,内核版本直接从6.4提升到了10.0,同时也带来了一些新的产品形态和用户体验上的诸多改进。

阅读全文 »

mj0011 发布于 01月06, 2015

NtApphelpCacheControl漏洞分析

起因:

Google Project Zero团队的新晋成员James Forshaw在9月30日向微软提交了名为“Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl”的安全问题,并且在Google的漏洞公开期限(90天)后,也就是2014年12月29日(北京时间的12月30日)公开了此问题的细节。

阅读全文 »

mj0011 发布于 11月12, 2013

从搜狗泄密事件看安全漏洞的披露原则

作者:mj0011任何软件都无法避免漏洞,对开发者来说,以最快速度响应和修复漏洞是对用户负责任的做法。不过在漏洞信息披露方面,不光很多普通网友不了解,一些软件厂商也缺乏对安全行业漏洞披露原则的认识。在近期搜狗浏览器漏洞泄密事件中,网络上关于漏洞应该如何披露就众说纷纭,其中也存在一些明显误区。在这里,我结合安全行业一些重大的漏洞事件,谈谈安全漏洞的披露原则。公布安全漏洞是“不负责任”和“不遵守安全行...

阅读全文 »