JVNVU#98590454
PCAUSA Rawether for Windows に権限昇格の脆弱性

Printing Communications Assoc., Inc. (PCAUSA) の Rawether フレームワークは、Berkeley Packet Filter (BPF) データを適切に検証していないため、細工された BPF プログラムを使用することで、想定されている範囲を超えたメモリ内容を操作することが可能です。
この脆弱性を悪用することで、Windows システムにおいて権限昇格される可能性があります。

Rawether フレームワークは多くのベンダに提供されており、影響を受けるドライバ名、バージョン、機器名などは多岐にわたります。脆弱性が存在するドライバは、おもに Wi-Fi ユーティリティプログラムなどに含まれています。

次のような名称のドライバを使用している場合、本脆弱性の影響を受ける可能性があります。

• PcaSp60.sys
• PcaSp50.sys
• PcaMp60.sys
• PcaMp50.sys

Printing Communications Assoc., Inc. (PCAUSA) が作成した Rawether for Windows は、アプリケーションから Network Driver Interface System (NDIS) プロトコルドライバを操作するためのフレームワークです。このフレームワークは多数の機器ベンダで、Wi-Fi 機器やルータを制御するアプリケーションに使用されています。
Rawether は Berkeley Packet Filter (BPF) メカニズムによるパケットフィルタリング機能を実装しています。BPF では、フィルタ内容を表現した小さなプログラムが BPF 仮想マシンによって実行されます。

バッファオーバーフロー (CWE-119) - CVE-2017-3196
Rawether は、BPF プログラムを実行する前に適切な検証を行っていません。細工した BPF プログラムによって任意のメモリ内容を読み書きされたり、無限ループを引き起こされたりする可能性があります。スタック領域に置かれたリターンアドレスが上書きされることで、SYSTEM 権限で任意のコードを実行される可能性があります。

NDIS_PACKET_TYPE_ALL_LOCAL フラグをつけた NDIS の OID_GEN_CURRENT_PACKET_FILTER リクエストにより、細工された BPF プログラムを設定した後、最初に受信したネットワークパケットを読み込む際に当該 BPF プログラムが実行されます。

研究者は、ASUS の無線 LAN カード PCE-AC56 で使用されているドライバ PcaSp60.sys の 64bit バージョンに対する再現手順を公開しています。

ローカルのユーザによって、細工された BPF プログラムを実行される可能性があります。結果として、SYSTEM 権限で任意のコードを実行される可能性があります。

アップデートする、または影響を受けるソフトウェアをアンインストールする
対象製品の開発者が提供する情報をもとに、Rawether ドライバを使用するソフトウェアをアップデートしてください。
または、影響を受けるソフトウェアをアンインストールしてください。
影響を受ける製品開発者の情報は、CERT/CC VU#600671 の Vendor Information をご確認ください。