VU#158530: Драйвер ядра Window... Заметка

VU#158530: Драйвер ядра Windows PCTCore64.sys содержит уязвимость отсутствия контроля доступа

Драйвер ядра Windows PCTCore64.sys от PC Tools Internet Security имеет серьезную уязвимость безопасности. Этот драйвер предоставляет интерфейс устройства под названием \.\PCTCoreDriver без надлежащих мер контроля доступа. Следовательно, любой процесс в пользовательском режиме может взаимодействовать с этим драйвером и выполнять привилегированные команды IOCTL.В сценарии "Принеси свой уязвимый драйвер" (BYOVD) злоумышленник, имеющий возможность загружать драйвер Windows, может использовать этот недостаток. Вызывая предоставленный драйвером интерфейс, он может выполнять конфиденциальные низкоуровневые операции в целевой системе. Драйверу не хватает безопасного применения дескрипторов, что позволяет непривилегированным процессам открывать дескрипторы устройств и отправлять привилегированные запросы IOCTL.Это позволяет злоумышленникам выполнять такие действия, как перечисление системных дескрипторов и манипулирование дескрипторами между процессами. Важно отметить, что это позволяет извлекать учетные данные из конфиденциальных процессов, таких как lsass.exe. Также возможна произвольная остановка процессов, включая защищенные.Хотя PC Tools Internet Security был снят с производства в 2013 году, драйвер остается подписанным и может быть использован в атаках BYOVD. Эта уязвимость способствует краже учетных данных, отключению программного обеспечения безопасности и более широкому компрометации системы. Последствия включают кражу учетных данных, отказ в обслуживании и компрометацию системы.Решение заключается в удалении и блокировке уязвимого драйвера, поскольку он больше не поддерживается. Организациям также следует внедрить меры по предотвращению атак BYOVD, такие как ограничение административных привилегий и включение функций безопасности Windows, таких как HVCI и WDAC.