漏洞起因
设计错误
影响系统
Rising Antivirus International Rising Personal Firewall 2009
Rising Antivirus International Rising Internet Security 2009
Rising Antivirus International Rising Antivirus 2009
不受影响系统
危害
本地攻击者可以利用漏洞提升特权。
攻击所需条件
攻击者必须访问瑞星产品所在系统。
漏洞信息
瑞星公司提供多个包括反病毒,网络安全套件,防火墙等安全产品。
瑞星多个产品安装程序权限设置不正确(Users: Full Control),本地攻击者可以使用恶意文件替代部分瑞星的关键服务文件,导致以SYSTEM权限执行任意代码,如:
1,攻击者可以通过恶意可执行文件替代%Program Files%\Rising\RAV\RavTask.exe (Rising RavTask Manager)文件,并在重新启动的时候恶意文件被执行。
2,如下文件夹中的文件可替换为任何恶意文件:
C:\Program Files\Rising\RFW\CCenter.exe BUILTIN\Utilisateurs:F
BUILTIN\Utilisateurs avec pouvoir:C
BUILTIN\Administrateurs:F
AUTORITE NT\SYSTEM:F
FUZZYXP\francis:F
… snip …
C:\>WHOAMI.EXE
FUZZYXP\test
C:\>telnet 127.0.0.1 4444
C:\>WHOAMI.EXE
WHOAMI.EXE
AUTORITE NT\SYSTEM
3,如下文件夹中的文件可替换为任何恶意文件:
C:\Program Files\Rising\Rav\RavTask.exe BUILTIN\Utilisateurs:F
BUILTIN\Utilisateurs avec pouvoir:C
BUILTIN\Administrateurs:F
AUTORITE NT\SYSTEM:F
FUZZYXP\francis:F
… snip …
C:\>WHOAMI.EXE
FUZZYXP\francis
C:\>telnet 127.0.0.1 4444
C:\>WHOAMI.EXE
WHOAMI.EXE
AUTORITE NT\SYSTEM
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.rising-global.com/
漏洞提供者
Maxim A. Kulakov and Francis Provencher
0 条评论。