Função SeEtwWriteKMCveEvent (wdm.h)

A função SeEtwWriteKMCveEvent é uma função de rastreamento para publicar eventos quando uma tentativa de exploração de vulnerabilidade de segurança é detectada em seus drivers no modo kernel.

Sintaxe

NTSTATUS SeEtwWriteKMCveEvent(
  [in]           PCUNICODE_STRING CveId,
  [in, optional] PCUNICODE_STRING AdditionalDetails
);

Parâmetros

[in] CveId

Um ponteiro para uma cadeia de caracteres que menciona a CVE-ID associada à vulnerabilidade para a qual esse evento está sendo gerado. Para obter mais informações, consulte Diretrizes técnicas para lidar com a nova sintaxe de ID CVE.

[in, optional] AdditionalDetails

Um ponteiro para uma cadeia de caracteres que fornece detalhes adicionais que o produtor de eventos pode querer fornecer ao consumidor desse evento.

Retornar valor

SeEtwWriteKMCveEvent retorna um dos seguintes valores:

Comentários

A função SeEtwWriteKMCveEvent publica um evento baseado em CVE. Essa função deve ser chamada somente em cenários em que uma tentativa de explorar uma vulnerabilidade conhecida e corrigida é detectada pelo aplicativo. O ideal é que essa chamada de função seja adicionada como parte da própria correção (atualização). O consumidor padrão para esse evento é EventLog-System. Para habilitar outro consumidor, o provedor pode ser adicionado à sessão do consumidor.

GUID do provedor: 85a62a0d-7e17-485f-9d4f-749a287193a6

Nome de origem: Microsoft-Windows-Audit-CVE ou CVE-Audit

Exemplos

NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;

…

RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");

status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);

Requisitos