El
equipo de seguridad de Cisco Talos ha
anunciado cuatro vulnerabilidades en Internet Security Suite de Kaspersky que
podrían permitir a un atacante provocar denegaciones de servicio o fugas de
memoria.
Los dos primeros problemas
residen en la forma en que el driver KLIF intercepta las llamadas NtUserCreateWindowEx
y NtAdjustTokenPrivileges
a la Windows API. En ambos casos una aplicación maliciosa podrá efectuar
llamadas maliciosas a la API con parámetros incorrectos. Lo que podría provocar
que el controlador intente acceder a memoria no accesible lo que causaría una caída
del sistema. Se han asignado
los identificadores CVE-2016-4304 y CVE-2016-4305.
Otra denegación de servicio, con CVE-2016-4307,
reside en el controlador
KL1 de Kaspersky. Un usuario malicioso puede enviar una llamada IOCTL
especialmente creada a driver KL1, que en determinadas condiciones esto provoca
una lectura de memoria fuera de la asignación del búfer. Esto provoca una
violación de acceso a memoria y la consiguiente caída del sistema.
Por último, con CVE-2016-4306, una
llamada IOCTL específicamente creada se puede utilizar para filtrar el
contenido de la memoria del kernel al entorno de usuario a través de una implementación
débil del servicio KlDiskCtl del controlador kldisk.sys.
Un atacante podría aprovechar
esto para obtener información de seguridad relevante y combinar este
conocimiento con otras vulnerabilidades para explotar el sistema local. Por
ejemplo, para evitar la funcionalidad de seguridad ASLR ("Address Space
Layout Randomization").
Las vulnerabilidades afectan a las
versiones 2016 de Kaspersky Internet Security, Kaspersky Anti-Virus y Kaspersky
Total Security (16.0.0.614), versión del driver KLIF 10.0.0.1532. Se han
corregido en las versiones Kaspersky Internet Security 2017, Kaspersky
Anti-Virus 2017 y Kaspersky Total Security 2017 (17.0.0.611). Los usuarios
deben actualizar a las nuevas versiones de los respectivos productos a través
del procedimiento de actualización de cada producto.
Más información:
Vulnerability Spotlight: Kernel Information
Leak & Multiple DOS Issues Within Kaspersky Internet Security Suite
Advisory issued on 25th August, 2016
TALOS-2016-0166 / CVE-2016-4304
Kaspersky Internet Security KLIF Driver
NtUserCreateWindowEx_HANDLER Denial of Service
TALOS-2016-0167 / CVE-2016-4305
Kaspersky Internet Security KLIF Driver
NtAdjustTokenPrivileges_HANDLER Denial of Service
TALOS-2016-0168 / CVE-2016-4306
Kaspersky Internet Security KLDISK Driver
Multiple Kernel Memory Disclosure Vulnerabilities
TALOS-2016-0169 / CVE-2016-4307
Kaspersky Internet Security KL1 Driver Signal
Handler Denial of Service
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario