Уязвимость, обнаруженная в файле драйвера агента Trellix HX fekern.sys, позволяла злоумышленнику с доступом локального пользователя получить повышенные системные привилегии. Использование собственного уязвимого драйвера (BYOVD) было использовано для получения доступа к критически важной памяти процесса Windows lsass.exe (служба подсистемы локального органа безопасности). файл fekern.sys; файл драйвера, связанный с агентом Trellix HX (используется во всех существующих версиях агента HX). Уязвимый драйвер, установленный в продукте или системе, на которой работает полнофункциональный агент HX, сам по себе не может быть использован, поскольку защита от несанкционированного доступа продукта ограничивает возможность взаимодействия с драйвером только процессами агента.
Показать оригинальное описание (EN)
A vulnerability identified in the HX Agent driver file fekern.sys allowed a threat actor with local user access the ability to gain elevated system privileges. Utilization of a Bring Your Own Vulnerable Driver (BYOVD) was leveraged to gain access to the critical Windows process memory lsass.exe (Local Security Authority Subsystem Service). The fekern.sys is a driver file associated with the HX Agent (used in all existing HX Agent versions). The vulnerable driver installed in a product or a system running a fully functional HX Agent is, itself, not exploitable as the product’s tamper protection restricts the ability to communicate with the driver to only the Agent’s processes.
Характеристики атаки
Последствия
Строка CVSS v4.0