Nueva vulnerabilidad en productos de Symantec
iDefense acaba de publicar una vulnerabilidad en el driver symTDI de los productos de seguridad de Symantec que les mandé hace tiempo. Y por supuesto, despues de una mierda de semana con mal tiempo, tenia que ser justo hoy que hace buen tiempo y me quería ir a la playa cuanto antes. Y eso es lo que pienso hacer, asi que vamos al grano.
La vulnerabilidad es una simple escalada local de privilegios debido a la validación incorrecta del userBuffer de un IRP en el envio del IOCTL 0x83022323 al device \\symTDI\. Me ha quedado bonita la frase 🙂 . Lo mas negativo es que este tipo de vulnerabilidades ya se les habían colado con anterioridad a los desarrolladores de Symantec, como en las que descubrió Ruben en los drivers «navex15.sys» y «naveng.sys».
Por último os dejo el advisory y el exploit. El exploit es un Poc que utiliza una dirección de memoria hardcodeada y que tras algunos parches de microsoft ya no es valida. Creo que debería ser cuestion minutos volver a hacerlo funcional…
Y ahora a la playa 🙂