gnarff
Goto Top

Kritischer Bug in Host Intrusion Prevention System von CA Internet Security, CA Personal Firewall...

Sicherheitsanfaelligkeit in den Host Intrusion Prevention System-Treibern von Computer Associates gibt eingeschraenkten Benutzern Kernel-Rechte!

Die Treiber kmxstart.sys and kmxfw.sys weisen diverse Sicherheitsanfaelligkeiten
hinsichtlich einer local privileg escalation auf.

Dadurch wird auch nichtprivilegierten Benutzern die Moeglichkeit gegeben, einen beliebigen, schaedlichen Code im Kernelmodus auszufuehren,
d.h. mit Ausfuehrungsrechten; dem Zugriff auf den gesamte Systemspeicher
und alle Prozessorbefehle.

Die oben genannten Treiber arbeiten zusammen
mit dem Transport Driver Interface [TDI],
einer Schnittstelle die zwischen Dateisystemtreibern
und den Transportprotokollen eingesetzt wird und NDIS, welches u.a eine Funktionsbibliothek zur Verfuegung stellt, sogenannte "wrapper" die von den
Media Access Controller [MAC]-Treibern benutzt werden, aber auch von den Treibern auf hoeherer Protokollebene; TCP/IP.

Vereinfacht dargestellt; kmxstart.sysund kmxfw.sys realisieren Callbacks innerhalb NDIS- und TDI-Hooked Systemen.
Durch Anwendung einer zugelassenen Handle Input/Output FunKtion [IOCTL] kann ein Benutzer,
auch ohne Rootrechte, ueber die o.g. HIPS-Treiber die Function pointer ueberschreiben und schliesslich einen beliebigen Code im Kernelmodus ausfuehren lassen.

Das gibt dem Benutzer u.A. die Moeglichkeit Rootkits in das System einzuschleusen.

Computer Associates arbeitet gegenwaertig an einem Patch

Eine aehnliche Sicherheitsanfaelligkeit ergibt sich uebrigends auch bei Kapersky-Produkten.

[Original Advisory by Ruben Santamarta vom ReverseMode-Team, in
bugtraq vom 16.11.2006,11:15 AM]

Links:

1.Advisory "CA HIPS Drivers - Multiple Privilege Escalation Vulnerabilities"
Download im PDF-Format:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

2. Download CA Kmxfw.sys Treiber-Exploit:
Datei: CA-kmxfw-exploit.zip
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

3. Download CA Kmxstart.sys Treiber-Exploit
Datei: CA-kmxstart-exploit.zip
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

saludos
gnarff

Content-Key: 44678

Url: https://administrator.de/contentid/44678

Ausgedruckt am: 28.03.2024 um 15:03 Uhr