top of page

Des chercheurs révèlent des vulnérabilités dans les logiciels Autodesk, Trend Micro et Kaspersky


Des chercheurs révèlent des vulnérabilités dans les logiciels Autodesk, Trend Micro et Kaspersky

Lundi, SafeBreach Labs a publié trois avis de sécurité décrivant ces bugs, qui ont tous été signalés en privé aux fournisseurs avant leur divulgation publique.

La première vulnérabilité, CVE-2019-15628, affecte les versions 16.0.1221 et antérieures de Trend Micro Maximum Security. L’un des composants du logiciel, le service Trend Micro Solution Platform, coreServiceShell.exe, s’exécute en tant que NT AUTHORITY\SYSTEM avec des niveaux d’autorisation élevés. C’est cet exécutable que les chercheurs ont ciblé.

Une fois que coreServiceShell.exe est exécuté, une bibliothèque – paCoreProductAdaptor.dll – est chargée. Cependant, le chargement d’une DLL manquante, l’absence de vérification des DLL sécurisés et d’une validation signée signifiaient que les attaquants pouvaient exploiter cette faille de sécurité pour charger des DLL non signées.

Pouvoir charger et exécuter des DLL arbitraires avec des logiciels signés dotés de privilèges élevés peut conduire à un contournement de la liste blanche d’applications, au contournement des protections de cybersécurité, à la persistance (pendant l’exécution du logiciel au démarrage) et potentiellement à une élévation des privilèges, indiquent les chercheurs.

“Cette vulnérabilité donne aux attaquants la possibilité de charger et d’exécuter du code malveillant de manière persistante, chaque fois que le service est chargé”, déclare SafeBreach Labs. “Cela signifie qu’une fois que l’attaquant aura déposé une DLL malveillante dans un chemin vulnérable, le service chargera le code malveillant à chaque redémarrage.”


publicité

Les DLL au coeur des failles

La deuxième vulnérabilité révélée concerne simultanément Kaspersky Secure Connection, un client de réseau privé virtuel (VPN) déployé avec les solutions de Kaspersky Internet Security pour créer une connexion sécurisée avec les serveurs du fournisseur.

Suivi comme CVE-2019-15689, ce bug ne peut être utilisé de manière abusive que si un attaquant a déjà obtenu les privilèges d’administrateur sur les versions du logiciel antérieures à 4.0.

Kaspersky Secure Connection fonctionne également sous NT AUTHORITY \ SYSTEM et, de la même manière que le problème susmentionné de Trend Micro, le service Kaspersky Secure Connection 3.0.0 (KSDE) recherche les DLL manquantes, ouvrant ainsi la voie aux abus via des chemins de recherche non contrôlés et sans validation des signatures.

Cette vulnérabilité, potentiellement utilisable dans le cadre d’une chaîne post-exploitation, permet le chargement arbitraire de DLL, signé par AO Kaspersky Lab et pouvant s’exécuter avec des niveaux d’autorisation élevés.

La dernière vulnérabilité, CVE-2019-7365, a été découverte dans l’application de bureau Autodesk. L’application de bureau – AdAppMgrSvc.exe – est utilisée par le logiciel Autodesk dans ses versions de 2017 à nos jours et fonctionne avec NT AUTHORITY \ SYSTEM. Un appel de DLL manquant effectué par une bibliothèque associée permettait également le chargement de DLL potentiellement malveillante. De plus, il n’y a pas de validation de certificat numérique et les DLL non signées peuvent donc être exécutées.

“Après avoir réussi à accéder à un ordinateur, un attaquant pourrait disposer de privilèges limités, limitant ainsi l’accès à certains fichiers et données”, expliquent les chercheurs. “Ce service lui offre la possibilité de fonctionner sous NT AUTHORITY \ SYSTEM, qui est l’utilisateur le plus puissant de Windows. Il peut ainsi accéder à presque tous les fichiers et processus appartenant à l’utilisateur de l’ordinateur.”

Les vulnérabilités ont été signalées à Trend Micro, Kaspersky et Autodesk en juillet, chaque faille de sécurité ayant été confirmée le même mois ou en août.

Mise à jour 15 h 49 GMT: Un porte-parole de Trend Micro nous a déclaré: “Trend Micro a publié un correctif pour ces vulnérabilités, actuellement disponible via la fonctionnalité automatique ActiveUpdate du produit, pour tous les produits concernés. Les clients recevant des mises à jour automatiques régulières devraient déjà avoir reçu cette mise à jour”.

Après avoir résolu le problème, Trend Micro a publié un avis de sécurité le 25 novembre. Kaspersky a corrigé le bug et publié un avis de sécurité le 2 décembre. Autodesk n’a pas encore publié d’avis. Un porte-parole de Kaspersky a déclaré à ZDNet:

“Kaspersky a corrigé un problème de sécurité détecté dans Kaspersky Secure Connection qui pourrait éventuellement permettre à des tiers d’exécuter localement du code arbitraire. Pour exploiter ce bug, un attaquant aurait besoin des droits d’administrateur local et du contrôle total de l’ordinateur.

Ce problème de sécurité a été résolu par le correctif 2020 E, fourni aux utilisateurs via les procédures de mise à jour automatique de Kaspersky. Un redémarrage peut être nécessaire pour appliquer ces mises à jour. “

ZDNet a contacté Autodesk avec des questions supplémentaires, mais n’a pas eu de réponse au moment de la publication.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page