12.7.05

Múltiples vulnerabilidades en el núcleo de Windows XP (I)

Bueno bueno, esta semana va a servir para mostrar las vulnerabilidades de este producto llamado Windowz (yo tb m apunto a eso de escribir con intriga xDD, lo k pasa k esto es poko intrigante m da la impresion xD).

Existen severas vulnerabilidades en una de las funciones nativas del API del nucleo de Windows XP, que permite a cualquier usuario con privilegio de SeDebugPrivilege ejecutar codigo arbitrario en modo nucleo, logrando leer y escribir hacia cualquier region de la memoria, incluyendo la memoria del nucleo.

Esta falla fue testeada sobre Windows XP Pro SP1 con los ultimos parches. Se presume que Windows 2003 tambien sea vulnerable.

Detalles

ZwSystemDebugControl(), exportado de ntdll.dll, llama a NtSystemDebugControl() una funcion del sistema operativo Windows.

Esta funcion es ejecutada en ring 0 (modo nucleo) y significa que es usada por las depuraciones en modo usuario que tengan privilegio SeDebugPrivilege.

*Vulnerabilidades*

*Error #1*, entrar ring 0, metodo 1 - SYSENTER/SYSCALL instrucciones

Este método escribe a IA32_SYSENTER_EIP MSR llamando al núcleo (NtSystemDebugControl()) y cambiando el registro del MSR al punto a nuestro código. La proxima vez que ejecutamos la instruccion SYSENTER, estaremos en ring 0 y tendremos el control total del procesador.
NOTA: Los procesadores AMD tambien pueden soportar la intruccion
SYSCALL que se comporta como SYSENTER y puede ser usado para introducir
un ring 0.

4 comentarios:

Javifields dijo...

pues a ver si lo de dosificar por capítulos te da mejor resultado que a mi, que creo que he ido perdiendo lectores con el tiempo...

he dudado entre matar al protagonista o dejarlo escapar, pero si lo mataba se producía un error de 'raccord' lógico que dicen los franceses (¿como puede morir y luego escribir la historia? qué listos son los franceses...), así que hoy lo dejé escapar...

tu historia creo que terminará peor :-D

('el Amor es para los feOs', lees esto? qué te parece lo del raccord lógico?)

Wedge dijo...

A ver ricardo, ¿ Entiendes algo de lo que dices ? si es así, lo tuyo es peor de lo que pensaba..........

pin dijo...

creo que el feo no lee esto, ultimamente esta tan ocupado que no solo no actualiza sino que ni nos lee...

DeAtH HaS cOMe #eCh!2004 dijo...

raccord lógico, hay k ver k inculto soy, nunca lo habia oido.

Hola Pin, cuanto tiempo, no te dejan irte de vacaciones?jeje

Por cierto Diego, estrenas Blog y no lo dcs?? muy mal, ya t pongo en links mamon!
Y respecto a la pregunta, si no lo entiendes tú, deberías preguntarte k estás estudiando... pork hay algo k va mal chiko ;)

Ala con Dios (y sin la Iglesia)