Bueno, si hace unos dias era a Symantec a quien le tocaba parchear, esta vez es ocasión para Kaspersky. Esta vulnerabilidad es diferente a las que han salido para otros Drivers. No se basa en ningún problema derivado del manejo erroneo de buffers de usuario.
Este caso, desde mi punto de vista, es un ejemplo claro de «Security through Obscurity». Kasperksy utiliza dos drivers para Hookear tanto a NDIS como a TDI respectivamente. Estos drivers implementan un sistema de plugins, los cuales son registrados (llamando a su rutina de entrada) utilizando un IOCTL en el cual se le pasa dicha dirección de la rutina de inicialización del Plugin. Óbviamente, estos plugins son de Ring0, por lo tanto es una llamada directa a esa dirección desde Kernel-Mode. Pues bien, ni el descriptor de seguridad del dispositivo de estos drivers estaba bien creado, ni habían puesto ninguna medida de seguridad para evitar que cualquiera puediera pasarle una dirección de user-mode. Irp.RequestorMode es lo que se tiene que usar en estos casos, ya que es donde se identifica si la Irp proviene de User-Mode o Kernel-Mode. Pues nada, tenéis dos exploits y el advisory preparados donde siempre. Saludos.
www.reversemode.com
Pobre viejuna :/