[Wintercore Research WS02-0209] Kaspersky Products Klim5.sys local privilege escalation

– Date : 03 Fevrier 2009

– Plateforme : Windows

– Programmes :
* Kaspersky Antivirus 2008
* Kaspersky AV for WorkStations

– Gravité : Moyenne

– Exploitation : Locale

– Dommage : Elévation de privilèges

– Description :
Une vulnérabilité a été découverte au sein de l’antivirus Kaspersky. Celle-ci permet à un attaquant local d’élever ses privilèges sur un système Windows.

La faille de sécurité se situe au sein de l’interface réseau NDIS de Windows (Network Driver Interface Specification). Le pilote "klim5.sys" a pour rôle d’intercepter un paquet entrant ou sortant par l’intermédiaire de cette interface.
Cependant, en envoyant des requêtes IOCTL judicieusement conçues, un pirate est en mesure de modifier l’emplacement des adresses mémoires de retour. Ainsi il est possible d’exécuter un code malicieux avec les privilèges du pilote, c’est à dire en tant que SYSTEM.

Note : une preuve de concept existe pour le Frameword Kartoffel [2].

– Vulnérable :
* Kaspersky AV 2008
* Kaspersky AV WorkStations 6.0

– Référence :

[1] http://www.reversemode.com/index.php?option=com_content&task=view&id=60&Itemid=1
[2] http://kartoffel.reversemode.com/downloads/kaspersky_klim5_plugin.zip

– Correction :

Aucun correctif n’est disponible pour le moment.

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1233654006