На сайте "SoftSphere Technologies" сообщается о наличии уязвимости в популярном антивирусном продукте "Антивирус Касперского" (он же - KAV). В версиях 5.0.227, 5.0.228 (в составе Kaspersky Personal Security Suite) и 5.0.335,работающих под операционной системой Windows2000 (в WinXP уязвимость не обнаружена), обнаружено грубейшее нарушение подсистемы безопасности операционной системы с возможностью её эксплуатации для поднятия собственных привилегий в системе. Было выявлено, что подсистема резидентной защиты антивируса напрямую вызывает функцию из драйвера klif.sys, являющимся частью антивируса. Исключения защиты страницы при этом не возникает, поскольку со страницы драйвера klif.sys снимается бит супервизора, что делает его полностью доступным для приложений уровня пользователя. Точка входа функции внутри драйвера klif.sys вызывается при загрузке динамических бибилотек внутрь старого, либо вновь создаваемого процесса. Внутри же этой функции происходит процесс загрузки динамических библиотек. Функция внутри драйвера находится по адресу 0xBE934FE1 (0xBE934FA0 для версии 5.0.335), её вызов происходит с помощью инструкции jmp (код 0xE9), находящейся по адресу kernel32!+0x5DFC2. Передача управления на этот джамп происходит из библиотек rpcrt4.dll, shell32.dll, ole32.dll, oleaut32.dll, shim.dll (часть KAV). Для визуального выявления данной уязвимости достаточно поставить точку останова в SoftIce на адрес 0xBE934FE1 (0xBE934FA0 для версии 5.0.335), запустить новое приложение (любое) и посмотреть на текущий селектор, атрибуты текущей страницы драйвера klif.sys и адрес возврата. Эксплуатация данной уязвимости возможна путём перезаписывания части кода и данных в открытых частях драйвера klif.sys в процессе с низким уровнем привилегий. После чего, если в программе или сервисе с высоким уровнем привилегий произойдёт загрузка динамической бибилотеки, этот код получит управление в адресном пространстве процесса с высоким уровнем привилегий. Выпущен тестовый эксплоит уязвимости.
Подробное описание