CVE-2011-2005漏洞分析与修复：Windows afd.sys本地提权漏洞.pdfVIP

CVE‑2011‑2005分析与修复

riusksk(泉哥)

riusksk@2011

年12月4日星期日

描述

Windows辅助功能驱动程序(afd.sys)由于对用户提交的数据未进行完善的检测，

导致存在本地提权，者利用该可执行任意代码。

分析

由于afd.sys只在当OutBufferLength不为0的情况下才检测UserBuffer地址的有效

性，因此者只需令OutBufferLength=0即可绕过检测：

关于该的利用还是需要一定技巧性，具体的exploit代码可参考：

Python版：‑/exploits/18176/C语言

版：

修复

通过补丁比较分析可以发现，补丁后的afs.sys不再检测OutBufferLength是否为0，而

是直接检测UserBuffer所指向的地址的有效性。左下图是修复后的，右下图是修复前：