Kingsoft Antivirus und 360 waren hochriskanten Schwachstellen im Kernel-Treiber ausgesetzt, die dazu führen können, dass das Betriebssystem vollständig kontrolliert wird

Kürzlich hat ein Sicherheitsforscher einen Tweet zum Thema gepostet

Berichten zufolge können Angreifer diese Schwachstellen nutzen, um Berechtigungen von normalen Benutzerrechten auf die höchsten SYSTEM-Berechtigungen zu erweitern, den KASLR-Schutz (Kernel Address Space Layout Randomization) zu umgehen, Kernel-Anmeldeinformationen zu stehlen und sogar die Kernel-Callback-Tabelle zu ändern, um bösartiges Verhalten zu verbergen.

Da alle beteiligten Treiber über offizielle EV- oder WHQL-Signaturen verfügen, können Angreifer schädliche Payloads direkt laden, ohne zusätzliche Software auf dem Zielgerät zu installieren, und die Angriffsschwelle ist äußerst niedrig.

Unter anderem weist der Treiber kdhacker64_ev.sys von Kingsoft Antivirus offensichtliche Mängel bei der Pufferzuordnung auf.

Wenn der Treiber Benutzereingaben verarbeitet, beträgt die zugewiesene Puffergröße nur die Hälfte der tatsächlich erforderlichen Größe, was dazu führt, dass 1160 Byte Daten in nur 584 Byte Speicherplatz geschrieben werden, was direkt zu einem 512-Byte-Kernel-Pool-Überlauf führt.

Es ist erwähnenswert, dass der Treiber über eine gültige EV-Signatur verfügt, was bedeutet, dass ein Angreifer diese Schwachstelle nutzen kann, um Systemsicherheitsprüfungen einfach zu umgehen und die vollständige Kontrolle über das Gerät zu erlangen.

Die Schwachstelle von 360 Security Guard spiegelt sich im Treiber DsArk64.sys wider.

Dieser Treiber ermöglicht die Weitergabe der 4-Byte-Prozess-ID über die IOCTL-Schnittstelle und ruft die ZwTerminateProcess-Funktion direkt auf der Ring-0-Ebene auf, wodurch jeder Prozess zwangsweise beendet und sogar der PPL-Mechanismus (Protected Process) umgangen werden kann, was eine Bedrohung für den Kernprozess des Systems darstellt.

Darüber hinaus verwendet die Kernel-Lese- und Schreibfunktion des Treibers den AES-128-CBC-Verschlüsselungsalgorithmus, sein Entschlüsselungsschlüssel ist jedoch im .data-Abschnitt der Binärdatei fest codiert, und alle Versionen verwenden denselben Schlüssel, was die Schwierigkeit für Angreifer, ihn zu knacken, erheblich verringert.

Derzeit wurden diese beiden Schwachstellen mit hohem Risiko an die LOLDrivers-Datenbank übermittelt.