Systemrechte durch Schwachstelle in Kasperskys Antivirenlösung
Ein Angreifer kann eigene Codesegmente in den Speicher schreiben und mit Systemrechten starten. Fast die gleiche LĂĽcke in IOCTL entdeckte iDefense bereits kĂĽrzlich in Produkten von Symantec.
iDefense hat eine Lücke in Treibern von Kasperskys Antivirenlösung gemeldet, mit der ein am System angemeldeter, nicht privilegierter Anwender seine Zugriffsrechte ausweiten kann. Ursache des Problems sind die Treiber KLIN.SYS und KLICK.SYS, die beim Aufruf von Funktionen für I/O-Control die angegebenen Adressen nicht kontrollieren. Ein Angreifer kann nach Angaben von iDefense diese Adressen manipulieren, eigene Codesegmente in den Speicher schreiben und mit Systemrechten starten. Fast die gleiche Lücke in IOCTL entdeckte iDefense bereits kürzlich in Produkten von Symantec.
Betroffen sind die Treiber in der Version 2.0.0.281, wie sie in der Kaspersky Labs Anti-Virus Version 6.0.0.303 enthalten sind. Kaspersky hat den Fehler in den Treiberversionen 2.0.0.333 seit dem 12.10. behoben, die über den Update-Service bezogen werden können.
Siehe dazu auch: (dab)
- Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation Vulnerability, Fehlerbericht von iDefense
