Sysmon安全工具中出现dll劫持漏洞 安全响应中心

admin 2019-8-8 212

概述

Sysmonhttps://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)是微软推出的一款很好用的系统监控工具,可以记录进程、模块、驱动、网络以及文件等多种事件,这些事件可以用作行为监控。得益于Sysmon的免费以及有效性,当前已经被越来越多公司用作安全数据采集工具。Sysmon官网当前已经更新到V10大版本,在新的版本中更是增加了对进程解析DNS的记录。(PS:笔者在测试V10版本的时候,发现Sysmon的驱动中存在一个内核bug,这个bug会导致在安装完V10版本,并在尝试卸载时触发蓝屏。笔者在发现这个bug之后反馈给了Sysmon的开发维护人员,预计会在近期修复这个bug)。笔者在最近发现Sysmon存在version.dll劫持的漏洞,笔者曾提交该漏洞值MSRCMSRC的人回复说这个不符合他们的漏洞安全服务标准,认为这个优先级很低,自然也就不会有CVE号了,但是微软说会修复这个漏洞(PS:也许看到此文章时,该漏洞已被修复,如果您想自行验证的话,可以使用之前版本的Sysmon来验证)。鉴于Sysmon已经被广泛使用,并且经过MSRC的回复说可以披露该漏洞信息,因此我认为披露出这个漏洞是有必要的。

 

发现过程

我在查看Sysmon二进制文件信息时发现在Sysmon.exe以及Sysmon64.exe的导入函数中出现了version.dll中的APISysmon会利用version.dll中的API来获取文件版本信息。于是想到这里可能存在被劫持利用的可能!


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:如何防止SQL注入?
下一篇:CVE-2019-13272 'PTRACE_TRACEME' 本地提权漏洞分析
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回