Baidu IMEがロードされるタイミングでプリロード攻撃非対策のアプリが乗っ取れる現象について

面白い現象を Baidu IME に発見したので紹介します

    char test[]="もふ(・ω・)\r\n";
    OutputDebugString(test);
        :
  メイン処理

実証コード(プログラム側)

    OutputDebugString("(へ・ω・)へ ぐへへ Hack\r\n");

DLL ハイジャックを行うDLL側

MS-IME / Google IME を使っているの時のログ

Started "vultest.exe" (process 0x3F04) at address 0x00400000.
エントリポイントに到着.全ての明示されたモジュールがロードされた.
もふ(・ω・)
Exited "vultest.exe" (process 0x3F04) with code 0 (0x0).

Baidu IME を使っている時のログ

Started "vultest.exe" (process 0x3A0C) at address 0x00400000.
エントリポイントに到着.全ての明示されたモジュールがロードされた.
もふ(・ω・)
(へ・ω・)へ ぐへへ Hack
(へ・ω・)へ ぐへへ Hack
Exited "vultest.exe" (process 0x3A0C) with code 0 (0x0).

面白くない? ・ω・

※ プリロード非対策のアプリなので、場合によっては、Baidu IME関係なしに乗っ取れる可能性があります

マイクロソフト セキュリティ情報 MS16-130 - 緊急
多分、これのBaidu IME 版

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です