Security Lab

Обход ограничений в Integrity Protection Driver

Дата публикации:09.12.2002
Всего просмотров:946
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Integrity Protection Driver 1.x
Описание: Pedestal Software Integrity Protection Driver – драйвер для Windows 2000, который защищает систему от установки новых сервисов и драйверов, а также защищает существующие драйвера.

При установке драйвера или запуске системы, используется 20 минутная задержка до его запуска с помощью функции restrictEnabled(). Атакующий может изменить время на системе и обойти защиту программы. Пример нападения:

00:00 [real admin starts IPD on his server]
 c:\ipd>ipdinstall.exe start
 [...]
 The driver will engage in 20 minutes.
 c:\ipd>
00:21 [IPD starts protecting the system from inserting drivers]
 ...
13:13 [a bad hacker comes in to the system]
 c:\alamakota> time
 [now he turns the clock 14 hours back]
 c:\alamakota> w2k_load verybaddrv.sys
 c:\alamakota> time
 [he restores the original time]
 [system is compromised]
уязвимость обнаружена в Pedestal Software Integrity Protection Driver 1.2
Ссылки: Bypassing Integrity Protection Driver (time vulnerability)