Forticlient – Ένα ζήτημα ευπάθειας στους drivers του λογισμικού εξέθετε σε κίνδυνο τους υπολογιστές των χρηστών
Το FοrtiClient, μια λύση ασφάλειας σε επίπεδο client που προσφέρει ευρεία προστασία σε υπολογιστές, προχώρησε σε επιδιόρθωση ενός σφάλματος κλιμάκωσης προνομίων που επέτρεπε σε μη εξουσιοδοτημένους χρήστες να αποκτούν προνόμια σε επίπεδο συστήματος.
Η ευπάθεια (CORE-2015-0013) ανακαλύφθηκε από ερευνητές της Core Security και επηρεάζει την έκδοση 5.2.3 του λογισμικού antivirus, καθώς και όλες τις προγενέστερες εκδόσεις.
Σύμφωνα με την ομάδα ασφάλειας της Fortinet, η ευπάθεια γνωστοποιήθηκε τον Ιούνιο, και επιδιορθώθηκε με την κυκλοφορία της έκδοσης 5.2.4, στις αρχές Σεπτεμβρίου.
Το πρόβλημα έγκειται σε τέσσερεις drivers του FοrtiClient («mdare64_48.sys”, “mdare32_48.sys”, “mdare32_52.sys,” και “mdare64_52.sys»), οι οποίοι κατά τη λήψη εντολών από τις κλήσεις συστήματος (IOCTL System Calls), με συγκεκριμένες παραμέτρους, μπορούν να επιτρέψουν σε έναν χρήστη χωρίς δικαιώματα να αναλάβει προνόμια σε επίπεδο συστήματος.
Αυτό θα μπορούσε να επιτρέψει σε έναν εισβολέα που είχε προηγουμένως μολύνει το σύστημα να χρησιμοποιήσει την ευπάθεια του FοrtiClient antivirus, αναλαμβάνοντας τον έλεγχο ενός ευπαθούς υπολογιστή με Windows. Εν συνεχεία, ο επιτιθέμενος θα ήταν σε θέση να μολύνει το σύστημα με κακόβουλο λογισμικό, να εξάγει προσωπικά δεδομένα και να τα αποστείλει σε κάποιον C&C διακομιστή, ή να χρησιμοποιήσει τον υπολογιστή για διαφόρου είδους παράνομες δραστηριότητες.
