テンセントQQ/TIMにローカル特権の脆弱性、攻撃者はQQProtectプロセス無分別な特権昇格が可能

脆弱性番号:CVE-2023-34312
重要度: 重要
影響範囲: QQ 9.7.8.29039 - 9.7.8.29039 TIM 3.4.5.22071 - 3.4.7.22084

原理:Tencent QQのサブコンポーネントであるQQProtectとQQProtectEngine.dllには、任意のアドレスを書き込めるセキュリティ脆弱性がある。QQProtect.exeにはASLR(Address Space Layout Randomisation)保護機能がないため、攻撃者はQQProtect.exeプロセス内の2つの脆弱性を組み合わせて悪意のあるDLLをロードし、NTAuthoritySYSTEMシェルを取得し、攻撃プロセスはほとんど無意味になる。

Componentディレクトリ: ProgramFiles(x86)%Common FilesTencent

このコンポーネントをブロックすると、プログラムの通信問題に影響する。

追記:「Write-What-Where」(WWW)は、特にオペレーティング・システムのメモリー管理における、ある種の脆弱性攻撃を説明するためによく使われる。Write-What-Where」とは、文字通り「Write What, Write Where」を意味する。

典型的な「Write-What-Where」脆弱性では、攻撃者は2つの重要な要素をコントロールできる:

何を書き込むか:つまり、攻撃者はメモリに書き込む特定のデータをコントロールできる。
書き込み場所(Where):つまり、攻撃者が書き込むデータを制御できるメモリアドレス。
この脆弱性を悪用することで、攻撃者はプログラムの実行方法を変更したり、システムメモリを破壊したりすることができ、深刻なセキュリティ問題を引き起こす可能性がある。これは、任意のコードの実行や特権の昇格など、様々な深刻な結果を引き起こす可能性があります。
[続きを読む]

Previous:

Next:

コメントを残す

コメントするにはログインしてください