Οι ερευνητές έχουν αποκαλύψει ένα σύνολο τρωτών σημείων ασφαλείας DLL στα προγράμματα Autodesk, Trend Micro και Kaspersky.
Τη Δευτέρα, τα SafeBreach Labs δημοσίευσαν τρεις συμβουλές για την ασφάλεια που περιγράφουν τα σφάλματα, τα οποία αναφέρθηκαν ιδιωτικά στους πωλητές πριν από τη δημοσιοποίηση.
Η πρώτη ευπάθεια, που αναφέρεται ως CVE-2019-15628, επηρεάζει την έκδοση Trend Micro Maximum Security έκδοση 16.0.1221 και παρακάτω. Ένα από τα συστατικά του λογισμικού, η υπηρεσία Trend Micro Solution Platform, το coreServiceShell.exe, λειτουργεί ως NT AUTHORITY \ SYSTEM με υψηλά επίπεδα άδειας και ήταν αυτό το εκτελέσιμο από τους ερευνητές.
Μόλις εκτελείται το coreServiceShell.exe, φορτώνεται μια βιβλιοθήκη – paCoreProductAdaptor.dll. Ωστόσο, ένα DLL λείπει, η έλλειψη ασφαλούς φόρτωσης DLL και η υπογεγραμμένη επικύρωση σήμαινε ότι οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν αυτή την τρύπα ασφαλείας, φορτώνοντας άσχετα DLL.
Η δυνατότητα φόρτωσης και εκτέλεσης αυθαίρετων αρχείων DLL με υπογεγραμμένο λογισμικό υψηλών προνομίων θα μπορούσε να οδηγήσει σε παράκαμψη των εφαρμογών, αποφυγή προστασίας του κυβερνοχώρου και ενδεχομένως κλιμάκωση προνομίων, λένε οι ερευνητές.
“Η ευπάθεια δίνει στους επιτιθέμενους τη δυνατότητα να φορτώνουν και να εκτελούν κακόβουλα payloads με συνεχή τρόπο, κάθε φορά που φορτώνεται η υπηρεσία”, λέει η SafeBreach Labs. “Αυτό σημαίνει ότι μόλις ο επιτιθέμενος αφήσει ένα κακόβουλο DLL σε μια ευάλωτη διαδρομή, η υπηρεσία θα φορτώσει τον κακόβουλο κώδικα κάθε φορά που θα ξαναρχίσει”.
Η δεύτερη ευπάθεια που αποκαλύπτεται επηρεάζει την Kaspersky Secure Connection, έναν πελάτη εικονικού ιδιωτικού δικτύου (VPN) που αναπτύσσεται με λύσεις Kaspersky Internet Security για τη δημιουργία ασφαλούς σύνδεσης με τους servers του προμηθευτή.
Παρακολουθείστε ως CVE-2019-15689, αυτό το σφάλμα μπορεί να καταστρατηγηθεί μόνο εάν ένας hacker έχει ήδη εξασφαλίσει δικαιώματα διαχειριστή σε εκδόσεις του λογισμικού κάτω από 4.0.
Η υπηρεσία Kaspersky Secure Connection λειτουργεί επίσης ως NT AUTHORITY \ SYSTEM και με τον ίδιο τρόπο όπως το προαναφερθέν πρόβλημα της Trend Micro, η υπηρεσία Kaspersky Secure Connection 3.0.0 (KSDE) ψάχνει για χαμένα DLL, ανοίγοντας μια διαδρομή για κατάχρηση μέσω ανεξέλεγκτων διαδρομών αναζήτησης και χωρίς επικύρωση υπογραφής.
Ενδεχομένως κατάλληλο ως μέρος μιας αλυσίδας post-exploit, το θέμα ευπάθειας επιτρέπει την αυθαίρετη φόρτωση DLL που υπογράφεται από την AO Kaspersky Lab και είναι ικανή να τρέχει με υψηλά επίπεδα δικαιωμάτων.
Η τελευταία ευπάθεια, CVE-2019-7365, ανακαλύφθηκε στην επιφάνεια εργασίας της Autodesk. Το desktop app – AdAppMgrSvc.exe – σχετίζεται με το λογισμικό της Autodesk από το 2017 μέχρι σήμερα και λειτουργεί με τη λειτουργία NT AUTHORITY \ SYSTEM. Μια “κλήση DLL” που λείπει από μια συνοδευτική βιβλιοθήκη επέτρεψε επίσης τη φόρτωση αυθαίρετων αρχείων DLL. Επιπλέον, δεν υπάρχει επικύρωση ψηφιακού πιστοποιητικού, και έτσι μπορούν να εκτελεστούν μη υπογεγραμμένα DLL.
“Αφού ένας εισβολέας αποκτήσει πρόσβαση σε έναν υπολογιστή, μπορεί να έχει περιορισμένα δικαιώματα, τα οποία μπορούν να περιορίσουν την πρόσβαση σε ορισμένα αρχεία και δεδομένα”, λένε οι ερευνητές. “Η υπηρεσία του παρέχει τη δυνατότητα να λειτουργεί ως NT AUTHORITY \ SYSTEM, ο οποίος είναι ο πιο ισχυρός χρήστης στα Windows, έτσι ώστε να έχει πρόσβαση σε σχεδόν κάθε αρχείο και διαδικασία που ανήκει στον χρήστη στον υπολογιστή“.
Τα τρωτά σημεία αναφέρθηκαν στις Trend Micro, Kaspersky και Autodesk τον Ιούλιο, με κάθε ελάττωμα ασφαλείας να επιβεβαιώνεται τον ίδιο μήνα ή τον Αύγουστο.
Update 15.49 GMT: Ένας εκπρόσωπος της Trend Micro είπε: “Η Trend Micro εξέδωσε μια ενημερωμένη έκδοση κώδικα για αυτά τα τρωτά σημεία που είναι διαθέσιμη αυτή τη στιγμή μέσω της αυτόματης λειτουργίας ActiveUpdate του προϊόντος για όλα τα σχετικά προϊόντα.
Η Trend Micro ζήτησε χρόνο πέρα από τη συνήθη πολιτική των 90 ημερών και μετά την επίλυση του προβλήματος δημοσίευσε μια συμβουλευτική για θέματα ασφαλείας στις 25 Νοεμβρίου. Η Kaspersky έβαλε το σφάλμα και δημοσίευσε μια συμβουλή ασφάλειας στις 2 Δεκέμβριο. Η Autodesk δεν έχει ακόμη δώσει συμβουλές. Ένας εκπρόσωπος της Kaspersky είπε στο ZDNet:
“Η Kaspersky έχει διορθώσει ένα ζήτημα ασφαλείας που εντοπίστηκε στο Kaspersky Secure Connection το οποίο θα μπορούσε ενδεχομένως να επιτρέψει σε τρίτους να εκτελέσουν τοπικά έναν αυθαίρετο κώδικα. Για να εκμεταλλευτεί αυτό το σφάλμα, ένας εισβολέας πρέπει να έχει δικαιώματα τοπικού διαχειριστή και πλήρη έλεγχο του υπολογιστή.
Αυτό το ζήτημα ασφαλείας επιδιορθώθηκε από την ενημερωμένη έκδοση κώδικα 2020 Ε, η οποία παραδόθηκε στους χρήστες μέσω των διαδικασιών αυτόματης ενημέρωσης της Kaspersky. Απαιτείται επανεκκίνηση για την εφαρμογή αυτών των ενημερωμένων εκδόσεων. “
