Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kritischer Bug in Host Intrusion Prevention System von CA Internet Security, CA Personal Firewall...

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

18.11.2006, aktualisiert 07.01.2009, 4781 Aufrufe

Sicherheitsanfaelligkeit in den Host Intrusion Prevention System-Treibern von Computer Associates gibt eingeschraenkten Benutzern Kernel-Rechte!

Die Treiber kmxstart.sys and kmxfw.sys weisen diverse Sicherheitsanfaelligkeiten
hinsichtlich einer local privileg escalation auf.

Dadurch wird auch nichtprivilegierten Benutzern die Moeglichkeit gegeben, einen beliebigen, schaedlichen Code im Kernelmodus auszufuehren,
d.h. mit Ausfuehrungsrechten; dem Zugriff auf den gesamte Systemspeicher
und alle Prozessorbefehle.

Die oben genannten Treiber arbeiten zusammen
mit dem Transport Driver Interface [TDI],
einer Schnittstelle die zwischen Dateisystemtreibern
und den Transportprotokollen eingesetzt wird und NDIS, welches u.a eine Funktionsbibliothek zur Verfuegung stellt, sogenannte "wrapper" die von den
Media Access Controller [MAC]-Treibern benutzt werden, aber auch von den Treibern auf hoeherer Protokollebene; TCP/IP.

Vereinfacht dargestellt; kmxstart.sysund kmxfw.sys realisieren Callbacks innerhalb NDIS- und TDI-Hooked Systemen.
Durch Anwendung einer zugelassenen Handle Input/Output FunKtion [IOCTL] kann ein Benutzer,
auch ohne Rootrechte, ueber die o.g. HIPS-Treiber die Function pointer ueberschreiben und schliesslich einen beliebigen Code im Kernelmodus ausfuehren lassen.

Das gibt dem Benutzer u.A. die Moeglichkeit Rootkits in das System einzuschleusen.

Computer Associates arbeitet gegenwaertig an einem Patch

Eine aehnliche Sicherheitsanfaelligkeit ergibt sich uebrigends auch bei Kapersky-Produkten.

[Original Advisory by Ruben Santamarta vom ReverseMode-Team, in
bugtraq vom 16.11.2006,11:15 AM]

Links:

1.Advisory "CA HIPS Drivers - Multiple Privilege Escalation Vulnerabilities"
Download im PDF-Format:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

2. Download CA Kmxfw.sys Treiber-Exploit:
Datei: CA-kmxfw-exploit.zip
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

3. Download CA Kmxstart.sys Treiber-Exploit
Datei: CA-kmxstart-exploit.zip
http://www.reversemode.com/index.php?option=com_remository&Itemid=2 ...

saludos
gnarff
Ähnliche Inhalte
Windows Userverwaltung
Gleiches Benutzerprofil für Anmeldung an TS und am lokalen System?? (6)

Frage von eastfrisian zum Thema Windows Userverwaltung ...

Router & Routing
Endgerät Routing über Netzwerk und VPN ins Internet (2)

Frage von amuelkx zum Thema Router & Routing ...

Windows 10
gelöst Applocker-Bug in Win10-1703 - Workaround gesucht (5)

Frage von DerWoWusste zum Thema Windows 10 ...

Neue Wissensbeiträge
Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Windows Server

Exchange 2010 auf Windows Server 2016 und AD

(2)

Tipp von Herbrich19 zum Thema Windows Server ...

KVM

How to: Libvirt Port forwarding

(2)

Anleitung von fundave3 zum Thema KVM ...

Heiß diskutierte Inhalte
Router & Routing
über Vmware auf eine FritzBox mit IPv6 per VPN (17)

Frage von Zockervogel zum Thema Router & Routing ...

Windows Server
gelöst Netzlaufwerk RemoteApp auf Win 2012 R2 Terminalserver funktioniert nicht (12)

Frage von grenzde zum Thema Windows Server ...

Basic
Programmierung von Windows Programmen (8)

Frage von Ghost108 zum Thema Basic ...