CVE Tools
Sign in

BDU:2016-00436

Уязвимость систем защиты информации Secret Net и Secret Net Studio, позволяющая нарушителю обойти механизм защиты DSE и повысить свои привилегии

Published: Jun 3, 2016Updated: Mar 23, 2021 Sources: BDUCWE-264Разрешения, привилегии и средства управления доступом
NVD MITRE
6.9CVSSMEDIUM
EPSS Score
N/A
CISA KEV
Not in KEV
Exploits
No Known Exploits
Remediation
Patch Available

Description

Уязвимость драйвера ядра sncc0.sys систем защиты информации Secret Net и Secret Net Studio связана с передачей указателей из приложения пользовательского режима в драйвера ядра через входной буфер IOCTL в функции Sub_180009D50. Эксплуатация уязвимости может позволить нарушителю, действующему локально, обойти механизм проверки наличия цифровой подписи у подгружаемых драйверов (механизм DSE) и повысить свои привилегии от уровня пользователя до уровня ядра операционной системы путём запуска специально сформированного пользовательского приложения

CVSS Vector Breakdown

AV:LAC:MAu:NC:CI:CA:C
Exploitability
AV:LAccess Vector
Local
AC:MAccess Complexity
Medium
Au:NAuthentication
None
Impact
C:CConfidentiality
Complete
I:CIntegrity
Complete
A:CAvailability
Complete
Open in CVSS calculator →

Weaknesses

CWE-264Разрешения, привилегии и средства управления доступом

Affected Products

Secret NetООО «Код Безопасности»
On-prem
Security Products
Secret Net StudioООО «Код Безопасности»
On-prem
Security Products
ооо «код безопасности»commercialSecurity Products

Exploitability

Official Patch Available

References

http://blog.cr4.sh/2016/02/exploiting-smm-callout-vulnurabilities.html
blog.cr4.sh
https://github.com/cr4sh/secretnet_expl
github.com
http://www.securitycode.ru/company/news/vsn6uu/
securitycode.ru

Timeline

Published
Jun 3, 2016
Last Updated
Mar 23, 2021
News mentions
Could not load news mentions.

Unlock Complete Vulnerability Intelligence

Get the full picture for BDU:2016-00436 and every CVE in our database. Create a free account — no credit card required.

Create Free Account
Plain-language analysis
Impact assessment and exploitation scenario in plain English
Attack graph visualization
Interactive attack path and kill chain mapping
Exploit details & PoC links
ExploitDB, Metasploit, GitHub PoCs with direct links
Nuclei scanner templates
Ready-to-use vulnerability scanner templates
Full remediation guide
Patch instructions, workarounds, and compliance impact
Interactive AI chat
Ask questions about this vulnerability in natural language
Related vulnerabilities
Semantically similar CVEs and attack patterns
REST API & MCP access
Integrate vulnerability data into your workflows