Bug,Bush,Bunny.
Los Microsoftnianos acaban de publicar el boletín de seguridad de Junio. Éste soluciona,entre otras, dos vulnerabilidades que había descubierto el año pasado.
Ambas tienen como denominador común, el Microsoft Server Message Block Redirector Driver (mrxsmb.sys). La primera de ellas, permite a cualquier usuario sin ningún privilegio especial, tan solo logueado, ejecutar código en Ring0 debido a un fallo del Driver al validar los buffers de usuario.
La segunda, es un deadlock que permite a cualquier proceso volverse «unkillable». Para que nos entendamos, no lo podrían borrar ni antivirus, ni sistema operativo…Según Microsoft, el fallo está dentro del driver al pasarle un handle inválido.No estoy de acuerdo. Como podéis leer en el paper, el fallo está en el Kernel Object Manager, lo que pasa que para explotarlo tenemos que usar una IOCTL del driver, pero cualquier driver que use NtClose contra un handle síncrono,abierto en modo usuario a su propio dispositivo provocará el deadlock. No se si habrán solucionado el problema símplemente metiendo un pegote en el driver o lo habrán solucionado en el Kernel. No lo he mirado.
Qué más, ah pues también he liberado la primera versión del «Kartoffel», una herramienta Open Source para verificación de Drivers. Podréis testear rápidamente estas vulnerabilidades con ella, o dedicaros a enredar por ahí a ver si encontráis alguna 🙂 .
Bueno pues todos los papers, exploits y tal os lo podéis bajar en www.reversemode.com,
siento no poneros los links directos, pero es que son unos cuantos y la verdad, estoy quemao.