CVE-2020-0788漏洞分析

0x00漏洞信息

漏洞影响：本地提权

漏洞文件：win32kfull.sys

漏洞函数：NtGdiBitBltInternal

漏洞原因：越界写

漏洞日期：2020 年 3 月 12 日

0x01漏洞分析

在NtGdiBitBltInternal  写入打印机设备上下文时会调用UMPDDrvBitBlt

UMPDDrvBitBlt 会调用3环 hook 修改调色板大小

回到0环 后会调用CreateXlateObject 申请的堆比预期调色板大小要小 导致写越界

win32kfull!CreateXlateObject+0x3fb:

ffff8300`404bf580 4589748754 mov dword ptr [r15+rax*4+54h],r14d  写入越界

ds:002b:fffffcb2`42f590f0=????????

调用堆栈列表

nt!DbgBreakPointWithStatus

nt!KiBugCheckDebugBreak+0x12

nt!KeBugCheck2+0x962

nt!KeBugCheckEx+0x107

nt!MiSystemFault+0xd88

nt!MmAccessFault+0x1f8

nt!KiPageFault+0x31a

win32kfull!CreateXlateObject+0x3fb

win32kfull!NtGdiBitBltInternal+0xe87

win32kfull!NtGdiBitBlt+0x5b

nt!KiSystemServiceCopyEnd+0x13

win32u!NtGdiBitBlt+0x14