概要
Cisco Talos は、マルウェア検出/保護ツールである Sophos HitmanPro.Alert における 2 件の脆弱性を公開しています。どちらの脆弱性も、入力/出力制御(IOCTL)メッセージ ハンドラに存在します。1 件は、カーネル メモリの内容を読み取られるおそれがあり、もう 1 件はコードが実行されて特権が昇格されるおそれがあります。
脆弱性の詳細
TALOS-2018-0635(CVE-2018-3970)– HitmanPro.Alert hmpalert カーネル メモリ漏えいの脆弱性
Sophos HitmanPro.Alert バージョン 3.7.6.744 の IOCTL ハンドラ関数に、エクスプロイト可能なメモリ漏えいの脆弱性が存在します。特別に細工された IOCTL 要求がシステム上の任意のユーザから hmpalert デバイスに送信されると、特権レベルのカーネル メモリの内容がそのユーザに返されます。本脆弱性に関する詳細は、こちら
をご覧ください。
TALOS-2018-0636(CVE-2018-3971)– HitmanPro.Alert hmpalert 特権昇格の脆弱性
Sophos HitmanPro.Alert バージョン 3.7.6.744 の IOCTL ハンドラ関数には、エクスプロイト可能な脆弱性がもう 1 つ存在しています。上記の脆弱性と同様に、システム上の任意のユーザが、特別な細工をした IOCTL 要求を hmpalert デバイスに送信すると、メモリへの書き込みが可能になり、コード実行と特権昇格をリモートで実施できるようになります。本脆弱性に関する詳細は、こちら をご覧ください。
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:47295-47296
Talos の脆弱性開示ポリシーについては、こちらのサイト をご覧ください。
本稿は 2018年10月25日に Talos Group
Authors