SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut employer METHOD_NEITHER pour élever ses
privilèges via Trend Micro Internet Security.

Gravité : 2/4

Conséquences : accès/droits administrateur

Provenance : shell utilisateur

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : sources multiples (3/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 31/03/2009

PRODUITS CONCERNÉS
- Trend Micro Internet Security

DESCRIPTION DE LA VULNÉRABILITÉ

Le pilote tmactmon.sys (TrendMicro Activity Monitor) est installé
par Trend Micro Internet Security, et est accessible par tous les
utilisateurs via \Device\tmactmon.

La fonction NtDeviceIoControlFile() permet de s’attacher au
pilote. Son paramètre IoControlCode indique le mode de gestion des
paramètres d’entrée/sortie :

– METHOD_BUFFERED, METHOD_IN_DIRECT, METHOD_OUT_DIRECT : utilise
un buffer d’IRP

– METHOD_NEITHER : utilise directement des adresses mémoires
virtuelles
Lorsque le mode METHOD_NEITHER est employé, le pilote doit
vérifier les adresses mémoire.

Cependant, tmactmon.sys ne vérifie pas les adresses. Un attaquant
peut donc passer en entrée ses données illicites, et en sortie une
adresse mémoire noyau. Ses données illicites sont donc écrites en
espace mémoire privilégié par le pilote.

Un attaquant local peut donc employer METHOD_NEITHER pour élever
ses privilèges via Trend Micro Internet Security.

CARACTÉRISTIQUES

Références : CVE-2009-0686, Positive Technologies SA 2009-09,
PT-2009-09, VIGILANCE-VUL-8578

http://vigilance.fr/vulnerabilite/Trend-Micro-IS-elevation-de-privileges-via-tmactmon-sys-8578