ANTICHAT — форум по информационной безопасности, OSINT и технологиям

В антивирусе Касперского версии 5.0.227, 5.0.228 (в составе Kaspersky Personal Security Suite) и 5.0.335,работающими под операционной системой Windows2000, обнаружено грубейшее нарушение подсистемы безопасности операционной системы с возможностью её эксплуатации для поднятия собственных привилегий в системе. Было выявлено, что подсистема резидентной защиты антивируса напрямую вызывает функцию из драйвера klif.sys, являющимся частью антивируса. Исключения защиты страницы при этом не возникает, поскольку со страницы драйвера klif.sys снимается бит супервизора, что делает его полностью доступным для приложений уровня пользователя. Точка входа функции внутри драйвера klif.sys вызывается при загрузке динамических бибилотек внутрь старого либо вновь создаваемого процесса. Внутри же этой функции происходит процесс загрузки динамических бибилотек.

Функция внутри драйвера находится по адресу 0xBE934FE1 (0xBE934FA0 для версии 5.0.335), её вызов происходит с помощью инструкции jmp (код 0xE9), находящейся по адресу kernel32!+0x5DFC2. Передача управления на этот джамп происходит из бибилотек rpcrt4.dll, shell32.dll, ole32.dll, oleaut32.dll, shim.dll (часть KAV).

Для вызуального выявления данной уязвимости достаточно поставить точку останова в SoftIce на адрес 0xBE934FE1 (0xBE934FA0 для версии 5.0.335), запустить новое приложение (любое) и постотреть на текущий селектор, атрибуты текущей страницы драйвера klif.sys и адрес возврата.

Эксплуатация данной уязвимости возможна путём перезаписывания части кода и данных в открытых частях драйвера klif.sys в процессе с низким уровнем привилегий. После чего, если в программе или сервисе с высоким уровнем привилегий произойдёт загрузка динамической бибилотеки, этот код получит управление в адресном пространстве процесса с высоким уровнем привилегий.

Тестовый эксплойт уязвимости можно скачать здесь:
http://www.softsphere.com/security/KAV_exploit.zip

Источник: Хакзона