Controlado desde el
19/10/97 por NedStat
|
|
Escalada de privilegios en BlackICE PC Protection
|
| |
VSantivirus No. 1305 Año 8, lunes 2 de febrero de 2004
Escalada de privilegios en BlackICE PC Protection
http://www.vsantivirus.com/vul-blackice-escalada.htm
Por Angela Ruiz
angela@videosoft.net.uy
BlackICE PC Protection, combina en un solo producto protección contra intrusiones, cortafuegos personal, y protección de aplicaciones, en Windows 98, NT, 2000, Me y XP.
Cuando BlackICE se instala por primera vez, la característica de protección de aplicaciones (Application Protection), está desactivada. También puede darse esta situación cuando un usuario actualiza su versión, y por supuesto, cuando la desactiva de forma premeditada.
En todo caso, si ello sucede, el archivo de configuración del propio programa (blackice.ini) puede ser accedido y modificado de tal modo, que se puede provocar un desbordamiento de búfer en el ejecutable del servicio (blackd.exe).
Combinando esto con otra clase de ataque, se puede lograr un aumento de privilegios del usuario en el sistema vulnerable. Esto ocurre porque BLACKD.EXE se ejecuta como SYSTEM (máximos privilegios).
Hay un exploit disponible para provocar esta falla, que permite el acceso como root al sistema.
El ejemplo (una página HTML), permite que se sobrescriba BLACKICE.INI por una versión maliciosa. Requiere la intervención del usuario.
Si la protección de aplicaciones está activada, el propio programa queda protegido y no es posible sobrescribir dicho archivo.
Son vulnerables las versiones 3.6.cbz y anteriores.
El vendedor publicó una versión actualizada que resuelve este problema, y que puede ser descargada desde este enlace:
http://blackice.iss.net/update_center/index.php
Reportado por:
Secure Network Operations, Inc.
http://www.secnetops.com/research
Referencias:
BlackICE PC Protection
http://blackice.iss.net/product_pc_protection.php
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
