mks_vir杀毒软件mksmonen.sys驱动IOCTL请求本地权限提升漏洞

2009-03-11T00:00:00
ID SSV:4886
Type seebug
Reporter Root
Modified 2009-03-11T00:00:00

Description

BUGTRAQ ID: 34039

MKS—vir是一款来自波兰的功能强大的反病毒软件。

MKS—vir的mksmonen.sys设备驱动没有正确地验证传送给IOCTL的用户提供地址,所有的IOCTL都生成为METHOD_NEITHER:

    ...
    .text:000113A7 @@ioctl_0x95FE0007:
    .text:000113A7                 cmp     [ebp+InputBufferLength], 4
    .text:000113AB                 jnb     short @@buffer_length_ok
    .text:000113AD
    .text:000113AD @@invalid_device_request:
    .text:000113AD                 mov     dword ptr [ebx], STATUS_INVALID_DEVICE_REQUEST
    .text:000113B3                 jmp     @@exit
    .text:000113B8
    .text:000113B8 @@buffer_length_ok:
    .text:000113B8                 mov     eax, [ebp+InputBuffer]
    .text:000113BB                 mov     dword ptr [eax], offset scanimpl ; Type3InputBuffer[0] <- 0xXXXXXXXX
    .text:000113C1                 jmp     @@exit
    ...

本地用户可以通过提交恶意IOCTL请求执行任意内核态代码。

MKS Sp.z o.o. mks_vir 9 BETA < 1.2.0.0 - build 297 厂商补丁:

MKS Sp.z o.o.

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.mks.com.pl/resources/files/mksvir_9_x32_build297.exe target=_blank rel=external nofollow>http://www.mks.com.pl/resources/files/mksvir_9_x32_build297.exe</a>

                                        
                                            
                                                http://www.sebug.net/exploit/5945/