martes, 30 de agosto de 2016

Vulnerabilidades en Kaspersky Internet Security Suite

El equipo de seguridad de Cisco Talos ha anunciado cuatro vulnerabilidades en Internet Security Suite de Kaspersky que podrían permitir a un atacante provocar denegaciones de servicio o fugas de memoria.

Los dos primeros problemas residen en la forma en que el driver KLIF intercepta las llamadas NtUserCreateWindowEx y NtAdjustTokenPrivileges a la Windows API. En ambos casos una aplicación maliciosa podrá efectuar llamadas maliciosas a la API con parámetros incorrectos. Lo que podría provocar que el controlador intente acceder a memoria no accesible lo que causaría una caída del sistema. Se han asignado los identificadores CVE-2016-4304 y CVE-2016-4305.

Otra denegación de servicio, con CVE-2016-4307, reside en el controlador KL1 de Kaspersky. Un usuario malicioso puede enviar una llamada IOCTL especialmente creada a driver KL1, que en determinadas condiciones esto provoca una lectura de memoria fuera de la asignación del búfer. Esto provoca una violación de acceso a memoria y la consiguiente caída del sistema.

Por último, con CVE-2016-4306, una llamada IOCTL específicamente creada se puede utilizar para filtrar el contenido de la memoria del kernel al entorno de usuario a través de una implementación débil del servicio KlDiskCtl del controlador kldisk.sys.

Un atacante podría aprovechar esto para obtener información de seguridad relevante y combinar este conocimiento con otras vulnerabilidades para explotar el sistema local. Por ejemplo, para evitar la funcionalidad de seguridad ASLR ("Address Space Layout Randomization").

Las vulnerabilidades afectan a las versiones 2016 de Kaspersky Internet Security, Kaspersky Anti-Virus y Kaspersky Total Security (16.0.0.614), versión del driver KLIF 10.0.0.1532. Se han corregido en las versiones Kaspersky Internet Security 2017, Kaspersky Anti-Virus 2017 y Kaspersky Total Security 2017 (17.0.0.611). Los usuarios deben actualizar a las nuevas versiones de los respectivos productos a través del procedimiento de actualización de cada producto.

Más información:

Vulnerability Spotlight: Kernel Information Leak & Multiple DOS Issues Within Kaspersky Internet Security Suite

Advisory issued on 25th August, 2016

TALOS-2016-0166 / CVE-2016-4304
Kaspersky Internet Security KLIF Driver NtUserCreateWindowEx_HANDLER Denial of Service

TALOS-2016-0167 / CVE-2016-4305
Kaspersky Internet Security KLIF Driver NtAdjustTokenPrivileges_HANDLER Denial of Service

TALOS-2016-0168 / CVE-2016-4306
Kaspersky Internet Security KLDISK Driver Multiple Kernel Memory Disclosure Vulnerabilities

TALOS-2016-0169 / CVE-2016-4307
Kaspersky Internet Security KL1 Driver Signal Handler Denial of Service



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada