CVE-2020-0788漏洞分析
0x00漏洞信息
漏洞影响:本地提权
漏洞文件:win32kfull.sys
漏洞函数:NtGdiBitBltInternal
漏洞原因:越界写
漏洞日期:2020 年 3 月 12 日
0x01漏洞分析
在NtGdiBitBltInternal 写入打印机设备上下文时会调用UMPDDrvBitBlt
UMPDDrvBitBlt 会调用3环 hook 修改调色板大小
回到0环 后会调用CreateXlateObject 申请的堆比预期调色板大小要小 导致写越界
win32kfull!CreateXlateObject+0x3fb:
ffff8300`404bf580 4589748754 mov dword ptr [r15+rax*4+54h],r14d 写入越界
ds:002b:fffffcb2`42f590f0=????????
调用堆栈列表
nt!DbgBreakPointWithStatus
nt!KiBugCheckDebugBreak+0x12
nt!KeBugCheck2+0x962
nt!KeBugCheckEx+0x107
nt!MiSystemFault+0xd88
nt!MmAccessFault+0x1f8
nt!KiPageFault+0x31a
win32kfull!CreateXlateObject+0x3fb
win32kfull!NtGdiBitBltInternal+0xe87
win32kfull!NtGdiBitBlt+0x5b
nt!KiSystemServiceCopyEnd+0x13
win32u!NtGdiBitBlt+0x14
从此山高路远,纵马扬鞭。愿往后旅途,三冬暖,春不寒,天黑有灯,下雨有伞。此生尽兴,不负勇往。