Categories: 脅威リサーチ

注目の脆弱性:Symantec Endpoint Protection のカーネル メモリ情報漏えいの脆弱性

概要

Cisco Talos は、Symantec Endpoint Protection Small Business Edition の ccSetx86.sys カーネル ドライバの情報漏えいの脆弱性を公開しています。この脆弱性は、このドライバの制御メッセージ ハンドラに存在します。巧妙に細工された要求を送信することにより、ドライバに初期化されていないカーネル メモリ チャンクを返させることが可能なため、カーネル セキュリティ緩和の迂回に使用可能な特権トークンやカーネル メモリ アドレスなどの機密情報が漏れる可能性があります。この脆弱性は、特権のないユーザがユーザ モードからプログラムを実行してトリガーすることができます。

Talos は情報開示方針に従い Symantec 社と連携しており、この脆弱性に対するパッチが利用可能であることを確認しました。

脆弱性の詳細

Symantec Endpoint Protection Small Business Edition ccSetx86.sys 0x224844 のカーネル メモリ情報漏えいの脆弱性(TALOS-2018-0693/CVE-2018-18366

このカーネル メモリ リークは、ドライバ バージョン 16.0.0.77 の「0x224844」制御コード用の IOCTL ハンドラに存在します。攻撃者は、悪意のある IOCTL 要求を ccSet_{F7A725B7-8267-494C-9647-F4FC1D53C6A3} デバイスに送信することで、この脆弱性をトリガーできる可能性があります。デバイスのデフォルトのアクセス制御では、システム上のすべてのユーザが IOCTL 要求をこのドライバに送信できます。

コンセプト実証コードを含むテクニカル アドバイザリの全文は、こちら

カバレッジ

脆弱性のエクスプロイトは、以下の SNORTⓇルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。

Snort ルール:48209、48210

本稿は 2019年4月23日に Talos Group のブログに投稿された「Vulnerability Spotlight: Symantec Endpoint Protection kernel memory information disclosure vulnerability」の抄訳です。

Share
TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。

Comments are closed.