漏洞关键信息 漏洞概述 CVE-2022-42045 Summary: 类型: 任意代码注入漏洞 位置: Zemana amsdk.sys 内核模式驱动程序,Zemana AntiMalware SDK 的一部分 影响: 允许注入任意代码到驱动程序代码部分之一,并以内核模式权限执行,导致本地权限提升(从管理员到内核模式) 潜在风险: 禁用驱动程序签名强制执行,然后安装未签名的内核模式驱动程序 细节 漏洞函数位置: 段的偏移量 调用函数位置: 段的偏移量 参数: 1. 目标地址: 段中有 RWX 权限的函数地址,指向偏移量 的函数 2. 源地址: 用户控制代码的源缓冲区地址 3. 整数值: 128 4. ntoskrnl.exe 中的某个函数地址,在调用参数2中的代码之后立即调用。在调用参数2中的代码之前,此参数值增加了参数2长度减1的代码长度。这个长度是由嵌入在驱动程序中的轻量级反汇编器计算出来的。调用参数2中的代码后,控制权转移至 相关IOCTL调用: - IOCTL 调用偏移量 处的函数,允许用任意用户控制代码填充 段中的存根 - IOCTL (通过SCSI读取) 或 IOCTL (通过SCSI写入) 将控制权移交给填充的存根 受影响产品 防病毒软件: Watchdog Anti-Malware 4.1.422, Zemana AntiMalware 3.2.28,它们使用相同的易受攻击的驱动程序但签名证书不同 logger: Zemana AntiLogger v2. 74.2.664,易受攻击的驱动程序: zamguard64.sys, zam64.sys 受影响操作系统 Windows 版本: 64位版本的Windows,从Windows 7到Windows 11 缓解措施 建议: 卸载Zemana或Watchdog防病毒产品,将驱动程序签名添加到黑名单 附录 网页中未截取完全的CMD截图显示了尝试启动驱动程序时因未通过数字签名验证而失败的错误信息。这展示了防御措施之一:驱动程序签名的黑名单策略。