Funzione SeEtwWriteKMCveEvent (wdm.h)

Articolo
03/08/2023

La funzione SeEtwWriteKMCveEvent è una funzione di traccia per la pubblicazione di eventi quando viene rilevato un exploit di vulnerabilità di sicurezza tentata nei driver in modalità kernel.

Sintassi

NTSTATUS SeEtwWriteKMCveEvent(
  [in]           PCUNICODE_STRING CveId,
  [in, optional] PCUNICODE_STRING AdditionalDetails
);

Parametri

[in] CveId

Puntatore a una stringa che indica l'ID CVE associato alla vulnerabilità per cui viene generato questo evento. Per altre informazioni, vedere Linee guida tecniche per la gestione della nuova sintassi dell'ID CVE.

[in, optional] AdditionalDetails

Puntatore a una stringa che fornisce dettagli aggiuntivi che il producer di eventi può voler fornire al consumer di questo evento.

Valore restituito

SeEtwWriteKMCveEvent restituisce uno dei valori seguenti:

Codice restituito	Descrizione
STATUS_SUCCESS	Il driver è stato pubblicato correttamente
ERROR_INVALID_PARAMETER	Puntatore non valido a CVE-ID passato. Gli eventi possono essere persi per diversi motivi; ad esempio, se la frequenza degli eventi è troppo elevata o se la dimensione dell'evento è maggiore della dimensione del buffer. In questi casi, il contatore EventsLost , un membro della struttura di EVENT_TRACE_PROPERTIES per il logger corrispondente, viene aggiornato con il numero di eventi non registrati.

Codice restituito

Descrizione

STATUS_SUCCESS

Il driver è stato pubblicato correttamente

ERROR_INVALID_PARAMETER

Puntatore non valido a CVE-ID passato. Gli eventi possono essere persi per diversi motivi; ad esempio, se la frequenza degli eventi è troppo elevata o se la dimensione dell'evento è maggiore della dimensione del buffer. In questi casi, il contatore EventsLost , un membro della struttura di EVENT_TRACE_PROPERTIES per il logger corrispondente, viene aggiornato con il numero di eventi non registrati.

Commenti

La funzione SeEtwWriteKMCveEvent pubblica un evento basato su CVE. Questa funzione deve essere chiamata solo negli scenari in cui un tentativo di sfruttare una vulnerabilità nota con patch viene rilevata dall'applicazione. Idealmente, questa chiamata di funzione deve essere aggiunta come parte della correzione (aggiornamento) stessa. Il consumer predefinito per questo evento è EventLog-System. Per abilitare un altro consumer, il provider può essere aggiunto alla sessione consumer.

GUID provider: 85a62a0d-7e17-485f-9d4f-749a287193a6

Nome origine: Microsoft-Windows-Audit-CVE o CVE-Audit

Esempio

NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;

…

RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");

status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);

Requisiti

Requisito	Valore
Client minimo supportato	Disponibile in Windows 10 e versioni successive di Windows
Piattaforma di destinazione	Windows
Intestazione	wdm.h
Libreria	Ntoskrnl.lib
DLL	Ntoskrnl.exe

Condividi tramite