Actu
Vigil@nce : Kaspersky AV, élévation de privilèges
décembre 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut remplacer les fichiers de produits Kaspersky, afin d’exécuter du code avec les privilèges System.
Gravité : 2/4
Conséquences : accès/droits administrateur
Provenance : shell utilisateur
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 17/12/2009
PRODUITS CONCERNÉS
Kaspersky Anti-Virus
DESCRIPTION DE LA VULNÉRABILITÉ
Les produits Kaspersky installent des modules sous le répertoire %ALLUSERSPROFILE%\Application Data\Kaspersky Lab\AVP9\Bases.
Le répertoire "Bases" est en "Contrôle total" pour "Tout le monde". Un attaquant local peut donc tenter de modifier un de ses fichiers. L’antivirus détecte cette action et la bloque.
Cependant, si l’attaquant passe par l’interface de quarantaine, et utilise le dialogue d’ouverture de fichier, il peut modifier les fichiers sous Bases.
Un attaquant local peut par exemple remplacer le fichier Bases/vulns.kdl par une DLL illicite, dont le code sera exécuté avec les privilèges System.
CARACTÉRISTIQUES
Références : BID-37354, VIGILANCE-VUL-9299
