Fehler in Kaspersky-Treiber ermöglicht höhere Zugriffsrechte
Durch einen Buffer Overflow in einem Kerneltreiber der Anti-Virenprodukte lässt sich Code einschleusen und mit Kernelrechten starten.
- Daniel Bachfeld
Ein Fehler in einem Kerneltreiber von Kaspersky Anti-Virus 6.0 und 7.0, Kaspersky Internet Security 6.0 und 7.0 sowie Kaspersky Anti-Virus 6.0 für Windows Workstations lässt sich ausnutzen, um an Systemrechte zu gelangen. Ein Anwender mit eingeschränkten Zugriffsrechten könnte so an Admin-Rechte auf einem System gelangen. Auch ein eingedrungener Schädling könnte die Lücke ausnutzen, um sich trotz der fehlenden Rechte in einem Windows-PC einzunisten.
Ursache des Problem ist ein Buffer Overflow im Kerneltreiber kl1.sys bei der Verarbeitung eines bestimmten IOCTL-Aufrufs und der Übergabe eines zu großen Parameters. Laut Bericht von iDefense ist es dadurch möglich, Code auf den Stack der Anwendung zu schleusen und mit den Rechten des Kernels zu starten. Kaspersky hat Updates zum Beheben der Schwachstelle bereitgestellt, die normalerweise bereits über das automatische Update den Weg auf den PC der Kunden gefunden haben sollten.
Siehe dazu auch:
- Low-risk vulnerability in kl1.sys driver is closed, Fehlerbericht von Kaspersky
- Kaspersky Internet Security IOCTL Stack Based Buffer Overflow Vulnerability, Fehlerbericht von iDefense
(dab)