Kingsoft Antivirus et 360 ont été exposés à des vulnérabilités à haut risque dans les pilotes du noyau qui peuvent entraîner un contrôle complet du système d'exploitation.

Récemment, un chercheur en sécurité a publié un tweet sur le

Selon les rapports, les attaquants peuvent utiliser ces vulnérabilités pour élever les privilèges des droits d'utilisateur ordinaires aux privilèges SYSTEM les plus élevés, contourner la protection KASLR (Kernel Address Space Layout Randomization), voler les informations d'identification du noyau et même modifier la table de rappel du noyau pour masquer les comportements malveillants.

Étant donné que les pilotes impliqués possèdent tous des signatures EV ou WHQL officielles, les attaquants peuvent charger directement des charges utiles malveillantes sans installer de logiciel supplémentaire sur l'appareil cible, et le seuil d'attaque est extrêmement bas.

Parmi eux, le pilote kdhacker64_ev.sys de Kingsoft Antivirus présente des défauts évidents d’allocation de tampon.

Lorsque le pilote traite les entrées de l'utilisateur, la taille du tampon alloué n'est que la moitié de la taille réelle requise, ce qui entraîne l'écriture de 1 160 octets de données dans seulement 584 octets d'espace, provoquant directement un débordement du pool de noyau de 512 octets.

Il convient de noter que le pilote possède une signature EV valide, ce qui signifie qu'un attaquant peut utiliser cette vulnérabilité pour contourner facilement les contrôles de sécurité du système et obtenir un contrôle complet de l'appareil.

La vulnérabilité de 360 ​​Security Guard se reflète dans le pilote DsArk64.sys.

Ce pilote permet de transmettre l'ID de processus sur 4 octets via l'interface IOCTL et appelle directement la fonction ZwTerminateProcess au niveau Ring 0, ce qui peut mettre fin de force à n'importe quel processus et même contourner le mécanisme PPL (Processus protégé), posant une menace pour le processus principal du système.

De plus, la fonction de lecture et d'écriture du noyau du pilote utilise l'algorithme de cryptage AES-128-CBC, mais sa clé de déchiffrement est codée en dur dans la section .data du fichier binaire, et toutes les versions utilisent la même clé, ce qui réduit considérablement la difficulté de déchiffrement pour les attaquants.

Actuellement, ces deux vulnérabilités à haut risque ont été soumises à la base de données LOLDrivers.