Дыра в драйвере позволяет повысить привилегии до SYSTEM на лэптопах LG

Дыра в драйвере позволяет повысить привилегии до SYSTEM на лэптопах LG

Исследователь в области безопасности обнаружил уязвимость повышения привилегий в приложении LG Device Manager, установленном на ноутбуках LG. Злоумышленники могут использовать этот баг для повышения своих прав в системе до уровня SYSTEM.

Эксперт, известный в Сети под псевдонимом Jackson T., рассказал об этой проблеме безопасности, которой был присвоен идентификатор CVE-2019-8372. Специалист наткнулся на брешь во время анализа драйвера уровня ядра, который принадлежал сервису LG Device Manager.

Этот драйвер — lha.sys/lha32.sys, версии v1.1.1703.1700 — запускается в системе в том случае, если имя продукта (Product Name) в BIOS содержит упоминание следующих строк: T350, 10T370, 15U560, 15UD560, 14Z960, 14ZD960, 15Z960, 15ZD960 или Skylake Platform.

Другими словами, драйвер загружается только на тех моделях лэптопов, которые оснащены шестым поколением процессоров Intel Core — Skylake.

Изучая файлы lha.sys и lha32.sys, которые на момент исследования имели версию 1.1.1703.1700, эксперт обнаружил проблему безопасности. Дыра позволяла злоумышленнику использовать Device Manager для повышения привилегий до SYSTEM. При этом атакующему не обязательно иметь доступ администратора для успешной эксплуатации.

«У драйвера есть функция отправки IOCTL, которую можно использовать для чтение и записи физической памяти. Когда драйвер загружен, устройство становится доступным атакующему без прав администратора, который может повысить свои привилегии в системе», — объясняет Jackson T.

Демонстрацию эксплуатации бреши эксперт опубликовал на YouTube:

Поскольку специалист уведомил LG о баге, компания смогла оперативно устранить эту уязвимость.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На форуме продают учётные данные 21 млн пользователей VPN для Android

Неизвестный киберпреступник на популярном хакерском форуме продаёт базы данных, которые, по его словам, содержат логины и пароли пользователей трёх VPN-приложений для мобильной операционной системы Android: SuperVPN, GeckoVPN и ChatVPN. В общей сложности злоумышленник предлагает 21 млн записей.

Это довольно интересная утечка, учитывая, что SuperVPN загрузили более 100 млн пользователей в официальном магазине Android-приложений Google Play Store. У GeckoVPN и ChatVPN результаты поскромнее, однако их тоже нельзя назвать плохими: 10 млн и 50 тыс. соответственно.

Преступник, разместивший на хакерском форуме объявление, продаёт адреса электронной почты и случайно сгенерированные строки, которые используются в качестве паролей. Сумму продавец не назвал, однако известно, что в общей сложности от утечки пострадали 21 млн пользователей VPN-клиентов.

 

Сотрудники издания CyberNews обратились за комментариями к представителям SuperVPN, GeckoVPN, ChatVPN и попросили подтвердить факт компрометации данных. Однако разработчики так и не вышли на связь.

Среди утёкших данных, по словам CyberNews, можно найти адреса электронной почты, имена пользователей, полные настоящие имена, страны проживания, сгенерированные случайным образом строки паролей, платёжную информацию, статус премиального пользователя и срок его действия.

 

Помимо этого, в выставленном на продажу архиве есть и данные об устройствах пользователей: серийный номер девайса, тип смартфона и его производитель, идентификатор устройства, IMSI-номера. Продавец при этом утверждает, что все данные он получил из общедоступных баз.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru