CVE-2021-31728
https://notcve.org/view.php?id=CVE-2021-31728
Incorrect access control in zam64.sys, zam32.sys in MalwareFox AntiMalware 2.74.0.150 allows a non-privileged process to open a handle to \.\ZemanaAntiMalware, register itself with the driver by sending IOCTL 0x80002010, allocate executable memory using a flaw in IOCTL 0x80002040, install a hook with IOCTL 0x80002044 and execute the executable memory using this hook with IOCTL 0x80002014 or 0x80002018, this exposes ring 0 code execution in the context of the driver allowing the non-privileged process to elevate privileges. Un control de acceso incorrecto en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware versión 2.74.0.150, permite que un proceso no privilegiado abra un identificador para \.\ZemanaAntiMalware, se registre con el controlador mediante el envío de IOCTL 0x80002010, asigne memoria ejecutable usando un fallo en IOCTL 0x80002040, instale un hook con IOCTL 0x80002044 y ejecute la memoria ejecutable usando este hook con IOCTL 0x80002014 o 0x80002018, esto expone la ejecución del código del anillo 0 en el contexto del controlador, permitiendo que al proceso no privilegiado elevar privilegios • https://github.com/irql/CVE-2021-31728 https://github.com/irql0/CVE-2021-31728/blob/master/CVE-2021-31728.md •
CVE-2021-31727
https://notcve.org/view.php?id=CVE-2021-31727
Incorrect access control in zam64.sys, zam32.sys in MalwareFox AntiMalware 2.74.0.150 where IOCTL's 0x80002014, 0x80002018 expose unrestricted disk read/write capabilities respectively. A non-privileged process can open a handle to \.\ZemanaAntiMalware, register with the driver using IOCTL 0x80002010 and send these IOCTL's to escalate privileges by overwriting the boot sector or overwriting critical code in the pagefile. Un control de acceso incorrecto en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware versión 2.74.0.150, donde 0x80002014, 0x80002018 de IOCTL exponen capacidades de lectura y escritura de disco sin restricciones, respectivamente. Un proceso no privilegiado puede abrir un identificador para \. • https://github.com/irql0/CVE-2021-31728/blob/master/CVE-2021-31727.md •
CVE-2018-6606 – MalwareFox AntiMalware 2.74.0.150 - Privilege Escalation
https://notcve.org/view.php?id=CVE-2018-6606
An issue was discovered in MalwareFox AntiMalware 2.74.0.150. Improper access control in zam32.sys and zam64.sys allows a non-privileged process to register itself with the driver by sending IOCTL 0x80002010 and then using IOCTL 0x8000204C to \\.\ZemanaAntiMalware to elevate privileges. Se ha descubierto un problema en la versión 2.74.0.150 de MalwareFox AntiMalware. Un control de acceso incorrecto en zam32.sys y zam64.sys permite que un proceso no privilegiado se registre a sí mismo en el controlador enviando una llamada IOCTL 0x80002010 y luego empleando otra llamada IOCTL 0x8000204C a \\. • https://www.exploit-db.com/exploits/43987 https://github.com/SouhailHammou/Exploits/blob/master/CVE-2018-6606/Malwarefox_privescl_1.c • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2018-6593 – MalwareFox AntiMalware 2.74.0.150 - Local Privilege Escalation
https://notcve.org/view.php?id=CVE-2018-6593
An issue was discovered in MalwareFox AntiMalware 2.74.0.150. Improper access control in zam32.sys and zam64.sys allows a non-privileged process to register itself with the driver by connecting to the filter communication port and then using IOCTL 0x8000204C to \\.\ZemanaAntiMalware to elevate privileges. Se ha descubierto un problema en la versión 2.74.0.150 de MalwareFox AntiMalware. Un control de acceso incorrecto en zam32.sys y zam64.sys permite que un proceso no privilegiado se registre a sí mismo en el controlador conectándose al puerto de comunicación de filtro y empleando una llamada IOCTL 0x8000204C a \\. • https://www.exploit-db.com/exploits/43973 https://github.com/SouhailHammou/Exploits/blob/master/CVE-2018-6593/Malwarefox_privescl_0.c • CWE-732: Incorrect Permission Assignment for Critical Resource •