Une vulnérabilité affecte l'antivirus Kingsoft

Une vulnérabilité a été découverte sur l'antivirus gratuit Kingsoft Antivirus/Internet Security 9+ par un chercheur en sécurité indépendant, Steven Seeley qui l’a signalée au programme de Beyond Security « SecuriTeam Secure Disclosure ». L'exploitation de cette vulnérabilité pourrait permettre à un attaquant local d'élever ses privilèges.

Plus techniquement, la vulnérabilité est un débordement de tampon au niveau de la pile du noyau de l'antivirus. Les failles concernent le traitement des IOCTL (appels systèmes assurant le contrôle des entrées et des sorties) 0x80030004 ou 0x80030008 par kavfm.sys (fonction anti-virus) et par le pilote de noyau KWatch3.sys (fonction sécurité internet). Le pilote ne valide pas correctement les données entrées par les utilisateurs, ce qui permet un débordement de tampon sur la pile du noyau.

Un attaquant local pourrait alors exploiter cette vulnérabilité pour exécuter du code arbitraire dans le contexte du noyau.

Informations
+

Correctif :

Depuis le 8 octobre 2017, des tentatives répétées de contact avec l’éditeur sont restées sans réponse. Jusqu’à maintenant, aucun correctif ou solution de contournement n’ont été publiés pour traiter cette vulnérabilité.

Code de l'exploit :

Un code d’exploitation de cette vulnérabilité est disponible via un POC sur le bulletin de sécurité publié par le programme « SecuriTeam Secure Disclosure de Beyond Security » : https://blogs.securiteam.com/index.php/archives/3597