10:45
25/2/2010

Jeśli macie antywirusa Avasta na swoim prywatnym komputerze — mamy dla was złą wiadomość. Błąd jest, komputery zawiesza. Ale jeśli tylko macie Avasta na firmowym laptopie, na którym dział IT zablokował możliwość zalogowania się na konto administratora — to mamy dla was dobrą wiadomość. Błąd jest, da wam prawa admina ;)

Avast i nadpisanie pamięci kernela

Bład występuje w wersjach 4.8 (<=4.8.1368.0) i 5.0 (< 5.0.418.0), ale niewykluczone, że inne wydania Avasta Home i Professional także mogą być podatne na atak. Jak pisze odkrywca luki, Tobias Klein, błąd znajduje się w sterowniku aavmker4.sys odpowiedzialnym za interpretację żądań IOCTL (taki interface user-kernel). Po przesłaniu odpowiednio zmodyfikowanego żądania IOCTL, atakujący jest w stanie nadpisać obszar pamięci jądra i w konsekwencji wykonać:

  1. lokalny DoS (kernel panic i zawieszenie systemu)
  2. lokalne wykonanie dowlonego kodu na poziomie kernela systemu (pwnd!)

Do uruchomienia kodu exploita nie potrzeba żadnych specjalnych praw, ale potrzeba exploita, a ten nie został opublikowany. Są natomiast dostępne dość szczegółowe techniczne wskazówki, jak sobie exploita napisać. Można się więc spodziewać, że na dniach coś niedobrego dla Avasta pojawi się na horyzoncie…

Rozwiązanie problemu

Tak więc użytkownikom domowym i działom IT sugerujemy szybką aktualizację do Avasta 5.0.418 — a pracownikom z firmowymi laptopami …nie powiemy co sugerujemy, bo nie chcemy, żeby <baczność!>zawsze czujny dział prawny Allegro</spocznij!> znów przesyłał nam e-maile, w których się “wydaje się” ;->

Jak zawsze po zainstalowaniu nowego antywirusa, sugerujemy sprawdzenie jego bezpieczeństwa poprzez wykonanie testu skuteczności.

Przeczytaj także:

7 komentarzy

Dodaj komentarz
  1. Brakuje mi tu istotnej informacji – które systemy są podatne. Z opisu działania wnioskuję, że.. wszystkie?

  2. Z pewnością nie te, które posiadają NODa… bo nie ma w nich A(h)vasta ;)

  3. O co chodzi z tym działem prawnym Allegro?

  4. @aqz
    przeczytaj trzy posty nizej, https://niebezpiecznik.pl/post/bledy-w-wp-pl-i-o2-pl-pozwalaja-na-podsluchanie-hasla-do-poczty/ Jakis prawnik allegro nie do konca zrozumial co to jest kradziez ciastek i mial do chlopakow pretensje o zdanie “sprawdzenie czy kradziez ciastek jest mozliwa w przypadku allegro pozostawiam czytelnikom jako prace domowa” a dodatkowo niezbyt zgrabnie ubral w slowa to co chcial przekazac ;]]

  5. Bez samego exploitu nie ma zabawy… chyba, że komuś chce się pobawić? No ale pewnie już niedługo znajdzie się coś w Metasploit Framework :).

  6. Na szczęście zawsze instaluję wszystkie aktualizacje a Avast nie przepuścił nic u mnie przez ponad 5 lat, tak więc daje radę. ;]

  7. raczej nie wiesz ze cos przepuscil ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.