Función SeEtwriteKMCveEvent (wdm.h)
La función SeEtwriteKMCveEvent es una función de seguimiento para publicar eventos cuando se detecta una vulnerabilidad de seguridad intentada en los controladores en modo kernel.
Sintaxis
NTSTATUS SeEtwWriteKMCveEvent(
[in] PCUNICODE_STRING CveId,
[in, optional] PCUNICODE_STRING AdditionalDetails
);
Parámetros
[in] CveId
Puntero a una cadena que menciona el identificador de CVE asociado a la vulnerabilidad para la que se genera este evento. Foe more information, see Technical Guidance for Handling the New CVE ID Syntax.
[in, optional] AdditionalDetails
Puntero a una cadena que proporciona detalles adicionales que el productor de eventos puede proporcionar al consumidor de este evento.
Valor devuelto
SeEtwwriteKMCveEvent devuelve uno de los siguientes valores:
| Código devuelto | Descripción |
|---|---|
| STATUS_SUCCESS | El controlador se publicó correctamente |
| ERROR_INVALID_PARAMETER | Puntero no válido a CVE-ID pasado. Los eventos se pueden perder por varias razones; por ejemplo, si la tasa de eventos es demasiado alta o si el tamaño del evento es mayor que el tamaño del búfer. En estos casos, el contador EventsLost , miembro de la estructura EVENT_TRACE_PROPERTIES del registrador correspondiente, se actualiza con el número de eventos que no se registraron. |
Comentarios
La función SeEtwriteKMCveEvent publica un evento basado en CVE. Solo se debe llamar a esta función en escenarios en los que la aplicación detecta un intento de aprovechar una vulnerabilidad conocida y revisada. Lo ideal es que esta llamada de función se agregue como parte de la corrección (actualización). El consumidor predeterminado para este evento es EventLog-System. Para habilitar otro consumidor, el proveedor se puede agregar a la sesión del consumidor.
GUID del proveedor: 85a62a0d-7e17-485f-9d4f-749a287193a6
Nombre de origen: Microsoft-Windows-Audit-CVE o CVE-Audit
Ejemplos
NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;
…
RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");
status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);
Requisitos
| Requisito | Value |
|---|---|
| Cliente mínimo compatible | Disponible en Windows 10 y versiones posteriores de Windows |
| Plataforma de destino | Windows |
| Encabezado | wdm.h |
| Library | Ntoskrnl.lib |
| Archivo DLL | Ntoskrnl.exe |