CVE-2021-31727

MalwareFox AntiMalware versão 2.74.0.150

O problema está relacionado a um controle de acesso incorreto nos drivers zam64.sys e zam32.sys do MalwareFox AntiMalware, permitindo que um processo sem privilégios obtenha privilégios elevados. Isso pode ser feito abrindo um identificador para .ZemanaAntiMalware, registrando-se no driver usando IOCTL 0x80002010 e, em seguida, enviando IOCTLs específicos (0x80002014 e 0x80002018) que expõem capacidades irrestritas de leitura/gravação em disco. Um invasor pode explorar isso para sobrescrever o setor de inicialização ou código crítico no arquivo de paginação, obtendo assim privilégios elevados.

Para o MalwareFox AntiMalware versão 2.74.0.150, considere desativar a funcionalidade de registro do IOCTL 0x80002010 e restringir o acesso aos drivers zam64.sys e zam32.sys como uma solução temporária para minimizar o risco de exploração. Além disso, evite usar os IOCTLs 0x80002014 e 0x80002018 no driver afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.