360安全卫士bregdrv.sys和bregdll.dll文件本地权限提升漏洞

2010-02-03T00:00:00
ID SSV:19051
Type seebug
Reporter Root
Modified 2010-02-03T00:00:00

Description

360安全卫士是在中国广泛使用的免费上网安全软件。

360安全卫士会在安装过程中在用户系统上安装一个注册表操作程序,该程序可以被用来绕过操作系统的安全检查机制任意操作(设置、删除等)用户的注册表。由于该程序没有对调用者进行检查,导致任意程序(如各种木马程序等)可以通过该后门任意操作(设置、删除等)用户的注册表系统。

该程序包括两个文件:

  1. bregdrv.sys:内核模式驱动,该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表,另外由于操作系统内部本身维护了很多同步数据、缓存数据,直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步,严重影响系统安全性,甚至可能导致用户正常数据丢失。

  2. bregdll.dll:用户态动态库,该动态库封装了对bregdrv.sys的调用,为用户态程序提供注册表操作后门的接口。

奇虎360安全卫士 厂商补丁:

奇虎360

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载,或通过产品的自动升级功能修复:

http://www.360.cn/

                                        
                                            
                                                http://sebug.net/exploit/19048/