本月微软的“星期二补丁”如约而至,其中就包括 MS15-004 补丁,修复了一个可能导致特权提升的漏洞( CVE-2015-0016 ),这是一个非常罕见的针对IE沙箱的漏洞,趋势科技的研究员对这个漏洞进行了详细的分析。
漏洞在TSWbPrxy.exe模块中,TSWbPrxy.exe是一个ActiveX控件,是微软远程桌面服务网络代理的程序。
首先,我用IDA插件 patchdiff2 查看补丁所作的修改,修改的是函数 CTSWebProxy::StartRemoteDestop 。
我用OleView加载了 TSWbPrxy.exe ,查看 CTSWebProxy::StartRemoteDestop 的定义。
StartRemoteDesktop的定义
我发现 StartRemoteDesktop 有两个参数,都和 mstsc.exe 有关,这个 mstsc.exe 就是远程桌面程序。
bstrMstsc: mstsc.exe的文件路径 bstrArguments: mstsc.exe的参数
[1] [2] [3] [4] [5] 下一页