Kingsoft Antivirus en 360 werden blootgesteld aan risicovolle kwetsbaarheden in de kerneldriver die ertoe kunnen leiden dat het besturingssysteem volledig onder controle wordt gehouden

Onlangs plaatste een beveiligingsonderzoeker een tweet op de

Volgens rapporten kunnen aanvallers deze kwetsbaarheden gebruiken om privileges te escaleren van gewone gebruikersrechten naar de hoogste SYSTEEM-privileges, de KASLR-bescherming (Kernel Address Space Layout Randomization) te omzeilen, kernelreferenties te stelen en zelfs de kernel-callback-tabel aan te passen om kwaadaardig gedrag te verbergen.

Omdat de betrokken stuurprogramma's allemaal een officiële EV- of WHQL-handtekening hebben, kunnen aanvallers rechtstreeks kwaadaardige ladingen laden zonder extra software op het doelapparaat te installeren, en is de drempel voor een aanval extreem laag.

Onder hen vertoont het stuurprogramma kdhacker64_ev.sys van Kingsoft Antivirus duidelijke defecten in de buffertoewijzing.

Wanneer het stuurprogramma gebruikersinvoer verwerkt, is de toegewezen buffergrootte slechts de helft van de feitelijk vereiste grootte, waardoor 1160 bytes aan gegevens in slechts 584 bytes ruimte worden geschreven, wat direct een kernelpool-overflow van 512 bytes veroorzaakt.

Het is vermeldenswaard dat de bestuurder een geldige EV-handtekening heeft, wat betekent dat een aanvaller deze kwetsbaarheid kan gebruiken om eenvoudig systeemveiligheidscontroles te omzeilen en volledige controle over het apparaat te verkrijgen.

De kwetsbaarheid van 360 Security Guard komt tot uiting in het stuurprogramma DsArk64.sys.

Met dit stuurprogramma kan de 4-byte proces-ID worden doorgegeven via de IOCTL-interface en wordt rechtstreeks de ZwTerminateProcess-functie aangeroepen op Ring 0-niveau, die elk proces met kracht kan beëindigen en zelfs het PPL-mechanisme (Protected Process) kan omzeilen, wat een bedreiging vormt voor het kernproces van het systeem.

Niet alleen dat: de lees- en schrijffunctie van de kernel van het stuurprogramma maakt gebruik van het AES-128-CBC-coderingsalgoritme, maar de decoderingssleutel is hardgecodeerd in de .data-sectie van het binaire bestand, en alle versies gebruiken dezelfde sleutel, wat de moeilijkheid voor aanvallers om te kraken aanzienlijk vermindert.

Momenteel zijn deze twee risicovolle kwetsbaarheden ingediend bij de LOLDrivers-database.