Rechteausweitung durch WinPcap-Treiber
In einem Gerätetreiber der WinPcap-Bibliothek können lokale Anwender einen Fehler ausnutzen, um ihre Zugriffsrechte am System zu erhöhen.
Der Sicherheitsdienstleister iDefense warnt in einem Fehlerbericht vor einer Schwachstelle in einem Gerätetreiber der quelloffenen WinPcap-Bibliothek, durch die lokale Anwender ihre Rechte ausweiten können. Anwendungen wie Wireshark nutzen WinPcap, um Netzwerkpakete mitzuschneiden.
Der fehlerhafte Gerätetreiber npf.sys wird geladen, wenn ein Systemadministrator eine auf WinPcap basierende Anwendung startet. Bei der Installation kann man den Treiber jedoch so einrichten, dass Windows ihn bei jedem Systemstart lädt. Der Treiber lässt sich über eine IOCTL-Schnittstelle von lokalen Nutzern ansprechen. In der Funktion bpf_filter_init überprüft die Software jedoch vom Benutzer übergebene Daten nicht, die sie als Index-Werte für eine Tabelle nutzt. Dadurch kann eingeschleuster Code im Kernel-Kontext zur Ausführung kommen.
Der Fehler betrifft WinPcap 4.0.1 – diese Version bringt auch das Wireshark-Installationspaket mit. Die Entwickler haben das Problem in der aktuellen Version 4.0.2 behoben. Administratoren, die WinPcap auf einem Mehrbenutzersystem einsetzen, sollten die aktuelle Bibliothek zügig herunterladen und installieren.
Siehe dazu auch:
- WinPcap NPF.SYS bpf_filter_init Arbitrary Array Indexing Vulnerability, Fehlerbericht von iDefense
- Download der aktuellen WinPcap-Version
(dmk)
