Vigil@nce : Sophos AV, élévation de privilèges via SAVOnAccessFilter
juin 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer une vulnérabilité du pilote
SAVOnAccessFilter, afin d’obtenir les privilèges du système.
– Gravité : 2/4
– Date création : 10/06/2010
DESCRIPTION DE LA VULNÉRABILITÉ
L’antivirus Sophos installe le pilote SAVOnAccessFilter.sys qui
vérifie les appels système à la volée.
L’appel système NtQueryAttributesFile() permet à une application
d’obtenir des informations sur un fichier. Le pilote
SAVOnAccessFilter.sys vérifie cet appel système.
Cependant, les paramètres de NtQueryAttributesFile() ne sont pas
correctement validés par le pilote, ce qui corrompt sa mémoire.
Un attaquant local peut donc employer une vulnérabilité du pilote
SAVOnAccessFilter, afin d’obtenir les privilèges du système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Sophos-AV-elevation-de-privileges-via-SAVOnAccessFilter-9699