Два вопроса безопасности во вредоносной полезности обнаружения и защиты Софоса HitmanPro. Тревога могла позволить потенциальным нападавшим получать поднятые привилегии, выполнять код удаленно и читать ядерное содержание памяти на целенаправленных машинах, как раскрыто Cisco Talos Марчин Нога.

Оба слабых места затрагивают HitmanPro. Аварийные версии до и включая 3.7.6.744 andhave, исправленный Sophos 17 сентября после раскрытия начальной буквы Cisco Talos 23 июля, и, были теперь публично раскрыты.

CVE-2018-3971 уязвимость эскалации привилегии затрагивает функцию IOCTL-укладчика HitmanPro Софоса. Аварийное решение антивируса, и это позволяет любому системному пользователю писать памяти, отправляя злонамеренно обработанный запрос IRP, предназначающийся для hmpalert устройства.

После успешной эксплуатации этого вопроса безопасности нападавший может использовать в своих интересах состояние повреждения памяти, чтобы «получить произвольное выполнение кода и эскалацию привилегии».

Cisco Talos также выпустила Доказательство понятия (PoC), разработанное, чтобы продемонстрировать, как уязвимость может эксплуатироваться.

Воздействие вопросов безопасности HitmanPro. Контроль за вводом/выводом тревоги (IOCTL) укладчик сообщения был исправлен 17 сентября

CVE-2018-3970 уязвимость раскрытия памяти, точно так же, как предыдущая, проживает в функциональности укладчика IOCTL Sophos HitmanPro, годное для использования использование , которое просит специально созданный IOCTL, любой системный пользователь может послать в hmpalert устройство.

«Специально обработанный запрос IRP может заставить водителя возвращать неинициализированную память, приводящую к ядерному раскрытию памяти», заявляет консультативная Cisco Talos'. «Нападавший может отправить запрос IRP, чтобы вызвать эту уязвимость».

После того, как вопрос безопасности эксплуатируется, потенциальный нападавший получит ядерное содержание памяти, которому дают привилегию, пять байтов пропущенной ядерной памяти, чтобы быть более точным.

Эта вторая ошибка безопасности также идет со своим собственным PoC, изданным Марчином Ногой из Cisco Talos, исследователем, который нашел эти два слабых места.

HitmanPro Софо. Аварийное ядерное раскрытие памяти и слабые места эскалации RCE/privilege были исправлены, и всем пользователям рекомендуют обновить программное обеспечение к последнему доступному выпуску.