ZeroBox Vulnerability Database

受影响系统：

Microsoft WMITOOLS 1.1
Microsoft WMI Object Viewer ActiveX Control  1.x

描述：

---

BUGTRAQ  ID: 45546

Microsoft Windows是微软发布的非常流行的操作系统。

Microsoft WMI Administrative Tools在实现上存在影响WMI Object Viewer (‘WBEMSingleView.ocx’) ActiveX控件的远程代码执行漏洞，远程攻击者可利用此漏洞造成在使用ActiveX控件的应用程序（特别是IE）中执行任意代码。

此漏洞源于WMI Object Viewer Control (WBEM.SingleViewCtrl.1)中的"AddContextRef()"和"ReleaseContext()"方法将传递到"lCtxHandle"参数的值用作对象指针。攻击者可以直接控制一个调用地址，让程序直接走到我们在内存中已经布置好的shellcode上。

<*来源：WooYun
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://downloads.securityfocus.com/vulnerabilities/exploits/45546.txt

[id(0x00000018), helpstring("Increment Context Ref Count")]
long AddContextRef(long lCtxtHandle);

02D26BF9 837D 08 FF cmp dword ptr [ebp+8], -1
02D26BFD 74 06 je short 02D26C05
02D26BFF 837D 08 00 cmp dword ptr [ebp+8], 0
02D26C03 75 07 jnz short 02D26C0C
02D26C05 B8 05400080 mov eax, 80004005
02D26C0A EB 13 jmp short 02D26C1F
02D26C0C 8B45 08 mov eax, dword ptr [ebp+8] //可控的参数
02D26C0F 8945 FC mov dword ptr [ebp-4], eax
02D26C12 8B4D FC mov ecx, dword ptr [ebp-4]
02D26C15 8B11 mov edx, dword ptr [ecx] //继续传,传给了edx
02D26C17 8B45 FC mov eax, dword ptr [ebp-4]
02D26C1A 50 push eax
02D26C1B FF12 call dword ptr [edx] //控制了这个调用地址

建议：

---

厂商补丁：

Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/