Адрес документа: http://itsec.ru/newstext.php?news_id=114354
Уязвимость (CVE-2016-8009) была обнаружена сотрудником Positive Technologies Максимом Кожевниковым в ходе исследования защищенности банкоматов одного из крупных банков. Как поясняется в блоге компании, система Solidcore используется во множестве банкоматов на базе Windows для выявления и блокировки вредоносных файлов с помощью белых списков, а также для контроля привилегий запущенных процессов.
Выявленная проблема позволяет неавторизованному пользователю использовать IOCTL-обработчик одного из драйверов для повреждения памяти ядра OC Windows. Проэксплуатировав проблему, атакующий может выполнить произвольный код с правами SYSTEM, повысить пользовательские привилегии от Guest до SYSTEM или вызвать отказ в обслуживании ОС.
Воспользовавшись уязвимостью, эксперты смогли управлять компонентами Solidсore и выполнять действия с правами SYSTEM. К примеру, отключать взаимодействие Solidcore с сервером управления ePolicy Orchestrator, отключать блокировку консоли управления Solidcore, отключать парольную защиту и внедрять произвольный код в любые системные процессы. Злоумышленник может использовать уязвимый драйвер для добавления вредоносного ПО в белые списки Solidcore без полного отключения защиты и связи с сервером управления, что позволит избежать подозрений и записей в логах.
Copyright © 2004-2019, ООО "ГРОТЕК"