El equipo de seguridad de Cisco Talos ha anunciado cuatro vulnerabilidades en Internet Security Suite de Kaspersky que podrían permitir a un atacante provocar denegaciones de servicio o fugas de memoria.
Detalle de las vulnerabilidades
- Los dos primeros problemas residen en la forma en que el driver KLIF intercepta las llamadas NtUserCreateWindowEx y NtAdjustTokenPrivileges a la Windows API. En ambos casos una aplicación maliciosa podrá efectuar llamadas maliciosas a la API con parámetros incorrectos. Lo que podría provocar que el controlador intente acceder a memoria no accesible lo que causaría una caída del sistema. Se han asignado los identificadores CVE-2016-4304 y CVE-2016-4305.
- Otra denegación de servicio, con CVE-2016-4307, reside en el controlador KL1 de Kaspersky. Un usuario malicioso puede enviar una llamada IOCTL especialmente creada a driver KL1, que en determinadas condiciones esto provoca una lectura de memoria fuera de la asignación del búfer. Esto provoca una violación de acceso a memoria y la consiguiente caída del sistema.
- Por último, con CVE-2016-4306, una llamada IOCTL específicamente creada se puede utilizar para filtrar el contenido de la memoria del kernel al entorno de usuario a través de una implementación débil del servicio KlDiskCtl del controlador kldisk.sys.
- Un atacante podría aprovechar esto para obtener información de seguridad relevante y combinar este conocimiento con otras vulnerabilidades para explotar el sistema local. Por ejemplo, para evitar la funcionalidad de seguridad ASLR ("Address Space Layout Randomization").
Recursos afectados
- Las vulnerabilidades afectan a las versiones 2016 de Kaspersky Internet Security, Kaspersky Anti-Virus y Kaspersky Total Security (16.0.0.614), versión del driver KLIF 10.0.0.1532.
Recomendación
- Se han corregido en las versiones Kaspersky Internet Security 2017, Kaspersky Anti-Virus 2017 y Kaspersky Total Security 2017 (17.0.0.611), debiendo los usuarios afectados actualizar a las nuevas versiones de los respectivos productos a través del procedimiento de actualización de cada producto.
Más
información
- Vulnerability Spotlight: Kernel Information Leak & Multiple DOS Issues Within Kaspersky Internet Security Suite http://blog.talosintel.com/2016/08/vulnerability-spotlight-multiple-dos.html
- Advisory issued on 25th August, 2016 https://support.kaspersky.com/vulnerability.aspx?el=12430#250816_2
- https://support.kaspersky.com/vulnerability.aspx?el=12430#250816_1
- TALOS-2016-0166 / CVE-2016-4304 Kaspersky Internet Security KLIF Driver NtUserCreateWindowEx_HANDLER Denial of Service http://www.talosintelligence.com/reports/TALOS-2016-0166/
- TALOS-2016-0167 / CVE-2016-4305 Kaspersky Internet Security KLIF Driver NtAdjustTokenPrivileges_HANDLER Denial of Service http://www.talosintelligence.com/reports/TALOS-2016-0167/
- TALOS-2016-0168 / CVE-2016-4306 Kaspersky Internet Security KLDISK Driver Multiple Kernel Memory Disclosure Vulnerabilities http://www.talosintelligence.com/reports/TALOS-2016-0168/
- TALOS-2016-0169 / CVE-2016-4307. Kaspersky Internet Security KL1 Driver Signal Handler Denial of Service http://www.talosintelligence.com/reports/TALOS-2016-0169/
Fuente:
Hispasec.com