Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kritischer Bug in Host Intrusion Prevention System von CA Internet Security, CA Personal Firewall...

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

18.11.2006, aktualisiert 07.01.2009, 4797 Aufrufe

Sicherheitsanfaelligkeit in den Host Intrusion Prevention System-Treibern von Computer Associates gibt eingeschraenkten Benutzern Kernel-Rechte!

Die Treiber kmxstart.sys and kmxfw.sys weisen diverse Sicherheitsanfaelligkeiten
hinsichtlich einer local privileg escalation auf.

Dadurch wird auch nichtprivilegierten Benutzern die Moeglichkeit gegeben, einen beliebigen, schaedlichen Code im Kernelmodus auszufuehren,
d.h. mit Ausfuehrungsrechten; dem Zugriff auf den gesamte Systemspeicher
und alle Prozessorbefehle.

Die oben genannten Treiber arbeiten zusammen
mit dem Transport Driver Interface [TDI],
einer Schnittstelle die zwischen Dateisystemtreibern
und den Transportprotokollen eingesetzt wird und NDIS, welches u.a eine Funktionsbibliothek zur Verfuegung stellt, sogenannte "wrapper" die von den
Media Access Controller [MAC]-Treibern benutzt werden, aber auch von den Treibern auf hoeherer Protokollebene; TCP/IP.

Vereinfacht dargestellt; kmxstart.sysund kmxfw.sys realisieren Callbacks innerhalb NDIS- und TDI-Hooked Systemen.
Durch Anwendung einer zugelassenen Handle Input/Output FunKtion [IOCTL] kann ein Benutzer,
auch ohne Rootrechte, ueber die o.g. HIPS-Treiber die Function pointer ueberschreiben und schliesslich einen beliebigen Code im Kernelmodus ausfuehren lassen.

Das gibt dem Benutzer u.A. die Moeglichkeit Rootkits in das System einzuschleusen.

Computer Associates arbeitet gegenwaertig an einem Patch

Eine aehnliche Sicherheitsanfaelligkeit ergibt sich uebrigends auch bei Kapersky-Produkten.

[Original Advisory by Ruben Santamarta vom ReverseMode-Team, in
bugtraq vom 16.11.2006,11:15 AM]

Links:

1.Advisory "CA HIPS Drivers - Multiple Privilege Escalation Vulnerabilities"
Download im PDF-Format:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

2. Download CA Kmxfw.sys Treiber-Exploit:
Datei: CA-kmxfw-exploit.zip
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

3. Download CA Kmxstart.sys Treiber-Exploit
Datei: CA-kmxstart-exploit.zip
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

saludos
gnarff
Ähnliche Inhalte
Sicherheit
Panda Security (Endpoint Protection + System Management) für Systemhäuser
gelöst Frage von thanh81Sicherheit4 Kommentare

Hallo, hat jemand Erfahrungen mit den aktuellen Panda Produkten? Wir haben zur Zeit einen Testzugang mit 25 Lizenzen und ...

Router & Routing
Firewall-Konfig für MPLS und Internet-Outbreak
Frage von condor77Router & Routing4 Kommentare

Hallo zusammen, ich habe eine knifflige Aufgabe. Ich versuche mal, Euch diese zu schildern. Ausgangslage sind mehrere Standorte, die ...

Virtualisierung
NAS und Firewall auf einem System virtualisieren, welchen Ansatz wählen?
Frage von ShutterflyVirtualisierung6 Kommentare

TL;DR: Ich suche eine Möglichkeit ein NAS und eine Firewall zu virtualisieren. Das NAS soll mit Paritäten arbeiten, damit ...

Router & Routing
Host leitet auch Internet Anfragen stur durch den BOVPN Tunnel. Folge kein Internet erreichbar
Frage von CasyopayaRouter & Routing8 Kommentare

Hallo Zusammen, Wir schützen unser Netzwerk mit Watchguard XTM 535 Boxen. Seit einiger Zeit haben wir ein Problem. In ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 8 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 10 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...