Wednesday, July 28, 2010

Zemana AntiLogger AntiLog32.sys Local Privilege Escalation Vulnerability

Sık sık ziyaret ettiğim Offensive Security'nin Exploits Database sitesinde, bugün Local Exploitler'ın en üstünde kendi programımıza ait bir exploit ile karşılaştım, şimdiye kadar AntiLogger için irili ufaklı bir çok exploit rapor edilmişti ancak bu aralarında en ciddi olanı diyebilirim ve hemen dev team ile irtibata geçtim, onlarda açığı teyid ettiler ancak son sürümü etkilememesi bize rahat bir nefes aldırdı. Eski sürümü kullananların acilen güncelleme yapmaları gerekiyor!

Çünkü bu exploit sayesinde, local hostunuzdaki kısıtlı kulanıcılardan biri admin yetkilerine ulaşabilir, poc'daki kod, komut istemcisini admin yetkileri ile çalıştırıyor.

Açığa sebebiyet veren, AntiLoger'in kernel driver'ında kullanılan bir özellik. Bu özellik, AntiLogger GUI'nin gerektiğinde administratör yetkilerine ulaştırılabilmesine yarıyordu. Ancak bu özellik Vista kernel'inde kaldırıldığı için AntiLogger'dada kullanımından vazgeçilmişti.

NtSetInformationProcess API'sine ProcessInformationClass = ProcessAccessToken verilmesi ile kısıtlı haklara çalışmakta olan bir process, admin yetkilerine ulaştırılabiliyordu, Vista kernel değişiklikleri ile beraber token impersonate işlemi sadece process çalıştırılmadan önce yapılabilir hale geldi. UAC'in mekanizmasında olduğu gibi.





2 comments:

  1. Öncelikle geçmiş olsun. Eski bir sürümde ortaya çıkmış olması ve yeni sürümün etkilenmemesi sevindirici bir durum.

    ReplyDelete
  2. ben bu kodu delphiye cevirmis denemistim :)

    ReplyDelete