Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Elévation de privilèges sur un système via une faille du pilote "Klim5.sys" de l’antivirus Kaspersky

février 2009 par XMCO PARTNERS

[Wintercore Research WS02-0209] Kaspersky Products Klim5.sys local privilege escalation

- Date : 03 Fevrier 2009

- Plateforme : Windows

- Programmes :
* Kaspersky Antivirus 2008
* Kaspersky AV for WorkStations

- Gravité : Moyenne

- Exploitation : Locale

- Dommage : Elévation de privilèges

- Description :
Une vulnérabilité a été découverte au sein de l’antivirus Kaspersky. Celle-ci permet à un attaquant local d’élever ses privilèges sur un système Windows.

La faille de sécurité se situe au sein de l’interface réseau NDIS de Windows (Network Driver Interface Specification). Le pilote "klim5.sys" a pour rôle d’intercepter un paquet entrant ou sortant par l’intermédiaire de cette interface.
Cependant, en envoyant des requêtes IOCTL judicieusement conçues, un pirate est en mesure de modifier l’emplacement des adresses mémoires de retour. Ainsi il est possible d’exécuter un code malicieux avec les privilèges du pilote, c’est à dire en tant que SYSTEM.

Note : une preuve de concept existe pour le Frameword Kartoffel [2].

- Vulnérable :
* Kaspersky AV 2008
* Kaspersky AV WorkStations 6.0

- Référence :

[1] http://www.reversemode.com/index.php?option=com_content&task=view&id=60&Itemid=1
[2] http://kartoffel.reversemode.com/downloads/kaspersky_klim5_plugin.zip

- Correction :

Aucun correctif n’est disponible pour le moment.

- Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1233654006




Voir les articles précédents

    

Voir les articles suivants