Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability

Printable View

15.06.2006, 10:24
HATTIFNATTOR

Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability

Affected Software:

Kaspersky Anti-Virus 5.x
Kaspersky Anti-Virus 6.x
Kaspersky Internet Security 6.x

Critical: Not critical

Skywing has discovered a vulnerability in Kaspersky Anti-Virus, which potentially can be exploited by malicious, local users to cause a DoS (Denial of Service).

The vulnerability is caused due to missing validation of pointers supplied by user-space programs before they are used by custom system services installed by "klif.sys" to access memory. This can be exploited to cause the system to reboot due to invalid memory access.

The vulnerability has been confirmed in Kaspersky Anti-Virus 6.0.0.300, Kaspersky Internet Security 6.0.0.300, and also reported in Kaspersky Internet Security Suite 5.0. Other versions may also be affected.

Solution: Restrict system access to trusted users only.

[url]http://secunia.com/advisories/20629/[/url]
15.06.2006, 12:24
aintrust

Как говорится, рано или поздно все тайное становится явным...

Да, к сожалению, проверка user-mode аргументов в функциях-перехватчиках системных сервисов (и не только) - это больное место автора драйвера [I]klif.sys[/I], Андрея Собко. Это тянется уже давно, от версии к версии, и что касается 6-й линейки KAV/KIS, то я уже писал (еще до выхода финального продукта) об этом Андрею в надежде, что он это поправит. Видать он или не успел, или не посчитал нужным. Надеюсь, что намного более серьезный баг, о котором я ему тоже писал, он все же поправил (я не проверял это в 300-й сборке).

Статья в оригинале довольно интересная, хотя местами и немного затянутая, и дает представление о том, как реально (с какими уловками, ухищрениями и допущениями - далеко не всегда хорошо обдуманными) пишется программный код в коммерческих продуктах. Очень советую прочитать всем, кто так или иначе сталкивается с написанием драйверов ядра.
15.06.2006, 15:22
Shu_b

[B]Отказ в обслуживании в Kaspersky Anti-Virus[/B]
[url]http://www.securitylab.ru/vulnerability/269074.php[/url]
[B]Программа:[/B]
Kaspersky Anti-Virus 6.0.0.300
Kaspersky Internet Security 6.0.0.300
Kaspersky Internet Security Suite 5.0
[B]Опасность:[/B] Низкая
[B]Наличие эксплоита:[/B] Нет

[B]Описание:[/B]
Уязвимость позволяет локальному пользователю вызвать отказ в обслуживании.

Уязвимость существует из-за отсутствия проверки указателей, передаваемых пользовательскими приложениями, перед использованием их при доступе к памяти в файле "klif.sys". Локальный пользователь может вызвать перезагрузку системы.

[B]Решение:[/B] Способов устранения уязвимости не существует в настоящее время.
15.06.2006, 22:50
Xen

Боян.
15.06.2006, 23:03
Sanja

>Локальный пользователь может вызвать перезагрузку системы.
Если начать перечислать такого рода уязвимости конкурента то баг-трекер затопит репортами Ж))))
16.06.2006, 08:31
Shu_b

Ну и для полного комплекта добавим с [url=http://security.nnov.ru/Gnews263.html]security.nnov.ru[/url]

[B]Многочисленные уязвимости в Антивирусе Касперского[/B]
Опубликовано: 15 июня 2006 г.
Источник: UNINFORMED
[B]Тип:[/B] локальная
[B]Опасность:[/B] 6/10
[B]Описание:[/B] Небезопасная работа компонентов уровня ядра приводит к возможности атак на отказ и повышению привилегий. В частности, возможен доступ пользовательского кода к памяти ядра.
[B]Затронутые продукты:[/B] KASPERSKY:Kaspersky Internet Security Suite 5.0

[B]Оригинальный текст[/B]
UNINFORMED, [url=http://security.nnov.ru/Ndocument198.html]Allowing User-mode Code to Access Kernel Memory[/url] (15.06.2006)
UNINFORMED, [url=http://security.nnov.ru/Ndocument197.html]Patching non-exported, non-system-service kernel functions [/url](15.06.2006)
UNINFORMED, [url=http://security.nnov.ru/Ndocument196.html]Improper Validation of Kernel Object Types[/url] (15.06.2006)
UNINFORMED, [url=http://security.nnov.ru/Ndocument195.html]Hiding Threads from User-mode[/url] (15.06.2006)
UNINFORMED, [url=http://security.nnov.ru/Ndocument194.html]Improper Validation of User-mode Pointers[/url] (15.06.2006)
UNINFORMED, [url=http://security.nnov.ru/Ndocument193.html]Patching system services at runtime[/url] (15.06.2006)
16.06.2006, 09:18
aintrust

[QUOTE=Sanja]>Локальный пользователь может вызвать перезагрузку системы.
Если начать перечислать такого рода уязвимости конкурента то баг-трекер затопит репортами Ж))))[/QUOTE]
Саня, какого конкурента? Вы, случаем, не перепутали этот форум с [URL="http://www.anti-malware.ru"]http://www.anti-malware.ru[/URL]? :P
16.06.2006, 09:26
aintrust

[QUOTE=Xen]Боян.[/QUOTE]
В каком смысле?
16.06.2006, 09:43
Xen

В таком, что соглашаюсь с твоим постом.
16.06.2006, 10:11
aintrust

[QUOTE=Xen]В таком, что соглашаюсь с твоим постом.[/QUOTE]
А лучше бы не согласился, что ли... Побазарили бы, кровь разогрели... :P А то после футбола так спать хочется!

PS. Off-topic, sorry.
16.06.2006, 19:00
Sanja

[QUOTE=aintrust]Саня, какого конкурента? Вы, случаем, не перепутали этот форум с [URL="http://www.anti-malware.ru"]http://www.anti-malware.ru[/URL]? :P[/QUOTE]
Неа.. просто юмор Ж) Мне нравится как весело протикает жизнь с бсодами и дырками у сами знаете кого и как детально обсуждают дырку тоже сами знаете кого.

Смешно - чесс слово Ж)