Recentemente, um pesquisador de segurança postou um tweet no
De acordo com relatos, os invasores podem usar essas vulnerabilidades para escalar privilégios de direitos de usuário comuns para os privilégios mais altos do SYSTEM, ignorar a proteção KASLR (Kernel Address Space Layout Randomization), roubar credenciais do kernel e até mesmo modificar a tabela de retorno de chamada do kernel para ocultar comportamento malicioso.
Como todos os drivers envolvidos possuem assinaturas EV ou WHQL oficiais, os invasores podem carregar diretamente cargas maliciosas sem instalar software adicional no dispositivo de destino, e o limite para ataque é extremamente baixo.
Entre eles, o driver kdhacker64_ev.sys do Kingsoft Antivirus apresenta defeitos óbvios de alocação de buffer.
Quando o driver processa a entrada do usuário, o tamanho do buffer alocado é apenas metade do tamanho real necessário, fazendo com que 1.160 bytes de dados sejam gravados em apenas 584 bytes de espaço, causando diretamente um estouro do pool de kernel de 512 bytes.
É importante notar que o driver possui uma assinatura EV válida, o que significa que um invasor pode usar essa vulnerabilidade para contornar facilmente as verificações de segurança do sistema e obter controle total do dispositivo.
A vulnerabilidade do 360 Security Guard se reflete no driver DsArk64.sys.
Este driver permite que o ID do processo de 4 bytes seja passado por meio da interface IOCTL e chama diretamente a função ZwTerminateProcess no nível Ring 0, que pode encerrar à força qualquer processo e até mesmo ignorar o mecanismo PPL (Processo Protegido), representando uma ameaça ao processo principal do sistema.
Além disso, a função de leitura e gravação do kernel do driver usa o algoritmo de criptografia AES-128-CBC, mas sua chave de descriptografia é codificada na seção .data do arquivo binário, e todas as versões usam a mesma chave, o que reduz muito a dificuldade de cracking dos invasores.
Atualmente, essas duas vulnerabilidades de alto risco foram submetidas ao banco de dados LOLDrivers.
