VULHUB ™

Microsoft Windows是美国微软（Microsoft）公司发布的一系列操作系统。 Windows的内核＃GP陷井处理例程对执行的环境做了一些不正确的假设，本地普通用户权限的攻击者可以通过伪造执行环境中的数据使操作系统在ring0层执行指定的任意指令，从而取得对系统的完全控制。此漏洞影响几乎所有的x86 32位的Windows系统。 为了在老式的16位应用中支持BIOS服务例程，Windows NT内核支持Virtual-8086模式监控代码中的BIOS调用，分两个阶段实现。当＃GP陷阱处理器(nt!KiTrap0D)检测到出错的cs：eip匹配了特定的magic value，内核就会过渡到第二阶段。一旦确认了真实性，过渡到第二阶段就会涉及到从出错的陷阱帧恢复之前所保存的执行上下文和调用栈。 由于这个验证依赖于以下错误的假设： - 创建VDM上下文需要SeTcbPrivilege - ring3代码无法安装任意代码段选择器 - ring3代码无法伪造陷阱帧 本地攻击者可以创建伪造的VDM上下文，然后通过触发异常导致内核栈返回到受控的地址，导致执行任意内核态代码。

Microsoft Windows是美国微软（Microsoft）公司发布的一系列操作系统。 Windows的内核＃GP陷井处理例程对执行的环境做了一些不正确的假设，本地普通用户权限的攻击者可以通过伪造执行环境中的数据使操作系统在ring0层执行指定的任意指令，从而取得对系统的完全控制。此漏洞影响几乎所有的x86 32位的Windows系统。 为了在老式的16位应用中支持BIOS服务例程，Windows NT内核支持Virtual-8086模式监控代码中的BIOS调用，分两个阶段实现。当＃GP陷阱处理器(nt!KiTrap0D)检测到出错的cs：eip匹配了特定的magic value，内核就会过渡到第二阶段。一旦确认了真实性，过渡到第二阶段就会涉及到从出错的陷阱帧恢复之前所保存的执行上下文和调用栈。 由于这个验证依赖于以下错误的假设： - 创建VDM上下文需要SeTcbPrivilege - ring3代码无法安装任意代码段选择器 - ring3代码无法伪造陷阱帧 本地攻击者可以创建伪造的VDM上下文，然后通过触发异常导致内核栈返回到受控的地址，导致执行任意内核态代码。