Una vulnerabilidad en WinPcap permite escalada de privilegios

Se ha descubierto una vulnerabilidad en WinPcap que podría ser aprovechada por un atacante local para ejecutar código arbitrario con privilegios de sistema. Existe exploit público para esta vulnerabilidad.

Programas muy populares como Snort, tcpdump o WireShark se ven afectados por esta escalada de privilegios.

WinPcap es la herramienta estándar para acceder a la conexi?n entre capas de red en entornos Windows. Se trata de un “port” para Windows de la librer?a libpcap y es necesaria para ejecutar programas de tipo “sniffer” que modifican el comportamiento de la interfaz de red para actuar en modo promiscuo, entre otras posibilidades. Algunos programas muy populares como Snort, tcpdump y WireShark (antiguo Ethereal) necesitan de esta librería para funcionar.

El fallo se da en el controlador npf.sys a la hora de validar los datos manejados en los parámetros Irp pasados a IOCTL 9031 (BIOCGSTATS). Un atacante podría aprovechar esta vulnerabilidad enviando parámetros especialmente manipulados y sobrescribiendo la memoria del núcleo.

Si un usuario local sin privilegios encuentra que el dispositivo ha sido utilizado y no se ha descargado el módulo (por ejemplo después de que un administrador ejecute WireShark, o ha sido programado para estar disponible en el inicio de sistema), el atacante podría ejecutar la prueba de concepto publicada y obtener privilegios totales sobre la máquina víctima.

Esta vulnerabilidad afecta a las versiones 3.1 y 4.1beta de WinPcap sobre cualquier sistema Windows. Existe exploit público. La vulnerabilidad ha sido solventada en la versión 4.0.1 de WinPcap. Su descarga se encuentra disponible desde:

http://www.winpcap.org/install/bin/WinPcap_4_0_1.exe

El fallo fue descubierto 16 de mayo por iDefense y su revelacion pública se programó para el 9 de julio.