Una vulnerabilidad ha sido reportada en Symantec Norton
AntiVirus, que puede ser explotada por un usuario malicioso a
nivel local, para ganar privilegios en el sistema o causar su
cuelgue.
La vulnerabilidad se produce por un error en el Device Driver
NAVAP.SYS del producto, y puede ser explotada enviando
códigos de control especialmente manipulados, mediante la
función “DeviceIoControl()”, que le solicita al driver la
realización de ciertas operaciones.
Se puede provocar una sobrescritura de áreas críticas de la
memoria, suplantándola por código que realice acciones
específicas, con los privilegios del modo Kernel (Ring0).
El Ring0 es el nivel más básico y cercano al procesador en el
funcionamiento de un sistema operativo. Los programas que se
ejecutan en este nivel, pueden llegar a tener acceso sin
restricciones a toda la computadora.
La vulnerabilidad ha sido reportada en la versión 2002, pero
probablemente se produzca también en otras versiones del
antivirus de Symantec.
Esta falla se basa en las vulnerabilidades de los Device
Drivers reportadas a principios de este mes por Sec-labs, un
grupo hacker de los denominados “blackhat”.
Un Device Driver es un controlador de dispositivo, programas
específicos de control para comunicar dispositivos con el
sistema operativo (comúnmente archivos .DLL o .SYS).
Bajo estas vulnerabilidades, prácticamente cualquier
aplicación que se ejecute en Windows y utilice un Device
Driver, puede ser usado para provocar un ataque al sistema,
desde el más elemental (denegación de servicio), hasta la
ejecución de programas.
Para obtener el control del equipo, la falla debe provocarse
en forma local, con lo que disminuye el alcance y
peligrosidad de la misma.
* Más información:
Win32 Device Drivers Communication Vulnerabilities
(Proof Of Concept – Exploiting Norton AntiVirus Device Driver)
http://sec-labs.hack.pl/papers/win32ddc.php
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com