VU#818729: Safetica содержит у... Заметка

VU#818729: Safetica содержит уязвимость драйвера ядра

Уязвимость существует в ядре драйвера ProcessMonitorDriver.sys от Safetica, используемого в его программном обеспечении для предотвращения потери данных. Это позволяет непривилегированным пользователям завершать системные процессы через открытый путь IOCTL. Уязвимость возникает из-за недостаточной очистки входных данных и проверки пользователей в интерфейсе драйвера. Успешное использование этой уязвимости позволяет осуществить атаку типа «отказ в обслуживании», потенциально делая системы Safetica непригодными для использования. Атакующий может повторно завершать процессы, нарушая функциональность системы и мониторинг безопасности. На момент публикации этого отчета официального исправления от поставщика не выпущено для решения этой критической проблемы. Организациям рекомендуется активно отслеживать подозрительные вызовы IOCTL, нацеленные на драйвер. Реализация решений для мониторинга ядра драйвера имеет важное значение для обнаружения злоупотреблений и необычных закономерностей. Ограничение доступа к уязвимому драйверу через политики Windows также имеет решающее значение. Это можно сделать с помощью групповых политик или контроля приложений для предотвращения неавторизованных взаимодействий. В отчете рекомендуется блокировать недоверенные или не подписанные бинарные файлы от общения с драйвером.