概要
Cisco Talos は、Symantec Endpoint Protection Small Business Edition の ccSetx86.sys カーネル ドライバの情報漏えいの脆弱性を公開しています。この脆弱性は、このドライバの制御メッセージ ハンドラに存在します。巧妙に細工された要求を送信することにより、ドライバに初期化されていないカーネル メモリ チャンクを返させることが可能なため、カーネル セキュリティ緩和の迂回に使用可能な特権トークンやカーネル メモリ アドレスなどの機密情報が漏れる可能性があります。この脆弱性は、特権のないユーザがユーザ モードからプログラムを実行してトリガーすることができます。
Talos は情報開示方針に従い Symantec 社と連携しており、この脆弱性に対するパッチ
が利用可能であることを確認しました。
脆弱性の詳細
Symantec Endpoint Protection Small Business Edition の ccSetx86.sys 0x224844 のカーネル メモリ情報漏えいの脆弱性(TALOS-2018-0693/CVE-2018-18366)
このカーネル メモリ リークは、ドライバ バージョン 16.0.0.77 の「0x224844」制御コード用の IOCTL ハンドラに存在します。攻撃者は、悪意のある IOCTL 要求を ccSet_{F7A725B7-8267-494C-9647-F4FC1D53C6A3} デバイスに送信することで、この脆弱性をトリガーできる可能性があります。デバイスのデフォルトのアクセス制御では、システム上のすべてのユーザが IOCTL 要求をこのドライバに送信できます。
コンセプト実証コードを含むテクニカル アドバイザリの全文は、こちら
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:48209、48210
本稿は 2019年4月23日に Talos Group
Authors