Недавно исследователь безопасности опубликовал твит на
Согласно сообщениям, злоумышленники могут использовать эти уязвимости для повышения привилегий с прав обычного пользователя до самых высоких СИСТЕМНЫХ привилегий, обхода защиты KASLR (рандомизация структуры адресного пространства ядра), кражи учетных данных ядра и даже изменения таблицы обратных вызовов ядра, чтобы скрыть вредоносное поведение.
Поскольку все задействованные драйверы имеют официальные подписи EV или WHQL, злоумышленники могут напрямую загружать вредоносные полезные данные без установки дополнительного программного обеспечения на целевое устройство, а порог атаки чрезвычайно низок.
Среди них драйвер kdhacker64_ev.sys от Kingsoft Antivirus имеет очевидные дефекты распределения буфера.
Когда драйвер обрабатывает пользовательский ввод, размер выделенного буфера составляет лишь половину фактического требуемого размера, в результате чего 1160 байт данных записываются всего в 584 байта пространства, что непосредственно приводит к переполнению 512-байтового пула ядра.
Стоит отметить, что драйвер имеет действующую подпись EV, а это означает, что злоумышленник может использовать эту уязвимость, чтобы легко обойти проверки безопасности системы и получить полный контроль над устройством.
Уязвимость 360 Security Guard отражена в драйвере DsArk64.sys.
Этот драйвер позволяет передавать 4-байтовый идентификатор процесса через интерфейс IOCTL и напрямую вызывает функцию ZwTerminateProcess на уровне кольца 0, которая может принудительно завершить любой процесс и даже обойти механизм PPL (защищенный процесс), создавая угрозу основному процессу системы.
Мало того, функция чтения и записи ядра драйвера использует алгоритм шифрования AES-128-CBC, но его ключ дешифрования жестко закодирован в разделе .data двоичного файла, и все версии используют один и тот же ключ, что значительно снижает сложность взлома злоумышленниками.
В настоящее время эти две уязвимости высокого риска были отправлены в базу данных LOLDrivers.
