Уязвимость позволяла злоумышленникам получать повышенные права на скомпрометированных устройствах и выполнять вредоносный код с уровнем привилегий SYSTEM.
Symantec Endpoint Protection является комплексным решением безопасности, включающим систему предотвращения вторжений, фаервол, систему защиты от потери данных и антивирусную защиту для рабочих станций и серверных машин.
Не первая подобная уязвимость
Данная уязвимость оказалась не первой проблемой локального повышения привилегий, о которой в этом году сообщил вендорам Пелег Хадар (Peleg Hadar), исследователь из компании SafeBreach Labs.
С августа этого года Хадару удалось обнаружить несколько подобных проблем безопасности в менеджере паролей Trend Micro Password Manager, клиентском приложении Check Point Endpoint Security, Bitdefender Antivirus Free, Avira Antivirus 2019, AVG Antivirus, Avast Antivirus и в нескольких продуктах McAfee.
Каждая из данных проблем позволяла хакерам провести атаку на уязвимых системах с постоянным размещением вредоносной нагрузки, а также уклоняться от обнаружения на поздних стадиях атаки.
После получения отчета от исследователя, Trend Micro, Check Point Software, Bitdefender, Avast и McAfee выпустили патчи, исправляющие уязвимости (получившие идентификаторы CVE-2019-14684, CVE-2019-8461, CVE-2019-15295, CVE-2019-17449, CVE-2019-17093 и CVE-2019-3648). Пользователи получили исправления через автоматическую систему обновлений продуктов.
Symantec исправила уязвимость
Уязвимость повышения привилегий в Symantec Endpoint Protection получила идентификатор CVE-2019-12758. Хадар сообщает, что для успешной эксплуатации потенциальные злоумышленники должны обладать правами администратора.
Хотя уровень угрозы не сразу очевиден, обычно данным уязвимостям присваивается рейтинг серьезности CVSS 3.x, соответствующий средней и высокой степени опасности.
Хакеры используют ошибки порядка поиска в библиотеках DLL для проведения многоэтапных атак проникновения на компьютер с целью повышения уровня разрешений, чтобы полностью скомпрометировать устройство и установить над ним постоянный контроль.
Хадар отмечает:
После успешной эксплуатации, уязвимость можно использовать для обхода механизмов самозащиты Symantec, получения иммунитета от защиты и сохранения высокого уровня привилегий на постоянной основе путем загрузки произвольной неподписанной библиотеки DLL в процесс, который подписан Symantec и работает как на уровне NT AUTHORITY\SYSTEM.
Проблема безопасности была исправлена в версии Symantec Endpoint Protection 14.2 RU2, выпущенной 22 октября 2019 года.
Загрузка неподписанной DLL из текущей рабочей директории
Хадар сообщает, что уязвимость CVE-2019-12758 связана с попыткой продукта загрузить DLL из текущей рабочей директории (Сurrent working directory, CWD) вместо использования фактического расположения DLL. Кроме того, процесс не проверяет, подписаны ли файлы цифровым сертификатом.
Исследователь обнаружил, что служба Symantec под названием SepMasterService, работающая в качестве подписанного процесса на уровне NT AUTHORITY\SYSTEM пытается импортировать DSPARSE.dll из CWD, т.е. директории C:\Windows\SysWow64\Wbem вместо фактического расположения в папке SysWow64.
Таким образом, злоумышленник может загрузить произвольную неподписанную библиотеку DLL в процесс SepMasterService, имеющий права администратора для обхода механизма самозащиты Symantec Endpoint Protection.
Для демонстрации концепции атаки Хадар внедрил неподписанную 32-разрядную прокси-библиотеку DLL в папку SysWow64\Wbem, загрузил ее и выполнил в рамках процессов, подписанных Symantec Corporation и работающих на уровне NT AUTHORITY\SYSTEM. Как и ожидалось, он успешно обошел механизм самозащиты Symantec Endpoint Protection.
Хадар сообщил:
Уязвимость предоставляет злоумышленнику возможность загружать и выполнять вредоносные полезные нагрузки в контексте подписанного процесса.
Эта возможность может быть использована для различных целей, таких как выполнение вредоносной нагрузки или уклонение от защиты, например обход белого списка. Антивирусная защита может не обнаружить двоичный файл злоумышленника, поскольку он пытается загрузить его без какой-либо проверки.
Уязвимость CVE-2019-12758 также позволяет злоумышленникам загружать и запускать вредоносный код каждый раз, когда службы Symantec загружаются в систему, что обеспечивает постоянство между перезагрузками системы.
Подробная информация об уязвимости, включая данные об обнаружении, подробный анализ и график раскрытия, доступна в отчете исследователя.
© Comss.one.