Baidu IMEがロードされるタイミングでプリロード攻撃非対策のアプリが乗っ取れる現象について
面白い現象を Baidu IME に発見したので紹介します
| char test[]="もふ(・ω・)\r\n"; OutputDebugString(test); : メイン処理 |
実証コード(プログラム側)
| OutputDebugString("(へ・ω・)へ ぐへへ Hack\r\n"); |
DLL ハイジャックを行うDLL側
MS-IME / Google IME を使っているの時のログ
| Started "vultest.exe" (process 0x3F04) at address 0x00400000. エントリポイントに到着.全ての明示されたモジュールがロードされた. もふ(・ω・) Exited "vultest.exe" (process 0x3F04) with code 0 (0x0). |
Baidu IME を使っている時のログ
| Started "vultest.exe" (process 0x3A0C) at address 0x00400000. エントリポイントに到着.全ての明示されたモジュールがロードされた. もふ(・ω・) (へ・ω・)へ ぐへへ Hack (へ・ω・)へ ぐへへ Hack Exited "vultest.exe" (process 0x3A0C) with code 0 (0x0). |
面白くない? ・ω・
※ プリロード非対策のアプリなので、場合によっては、Baidu IME関係なしに乗っ取れる可能性があります
マイクロソフト セキュリティ情報 MS16-130 - 緊急
多分、これのBaidu IME 版
Translate
Comments