Forskere afslører DLL-indlæsning af sårbarheder i Autodesk, Trend Micro, Kaspersky software

0
218

Charlie Osborne

Ved Charlie Osborne

for Nul-Dag

| December 2, 2019 — 14:12 GMT (14:12 GMT)

| Emne: Sikkerhed

Forskerne teste Android ‘ s VOIP komponenter til den første tid, at finde otte sårbarheder
De sårbarheder, der kan udnyttes til at foretage uautoriserede VoIP-opkald, spoof opkalds-id ‘ er, afvis opkald, og selv afvikle ondsindet kode på brugeres enheder.

Forskere har afsløret en række sikkerhedshuller i Autodesk, Trend Micro, og Kaspersky software.

På mandag, den SafeBreach Labs udgivet tre sikkerhedsbulletiner, som beskriver de fejl, som alle var privat rapporterede, at de leverandører, før en offentliggørelse.

Den første svaghed, spores som CVE-2019-15628, virkninger Trend Micro Maksimal Sikkerhed version 16.0.1221 og nedenfor. En af softwarens komponenter, Trend Micro Løsning Platform service, coreServiceShell.exe, kører som NT AUTHORITYSYSTEM med høje niveauer af tilladelse, og det var denne eksekverbare, at forskere målrettet.

Når coreServiceShell.exe udfører, et bibliotek — paCoreProductAdaptor.dll — er indlæst. Men en manglende DLL, mangel på rent DLL-indlæsning og underskrevet validering betød, at angriberne kan udnytte dette sikkerhedshul, ilægning af unsigned Dll ‘ er som følge heraf.

At være i stand til at indlæse og køre vilkårlig Dll ‘ er underskrevet software af høj privilegier kunne føre til application hvidlistning bypass, unddragelse af cybersecurity beskyttelse, vedholdenhed — som den software, der kører på start — og potentielt rettighedsforøgelse, siger forskerne.

“Svagheden giver angriberne evnen til at lægge og udføre ondsindede nyttelast i en vedholdende måde, hver gang tjenesten er indlæst,” SafeBreach Labs siger. “Det betyder, at når angriberen falder en ondsindet DLL i en sårbar vej, til den service vil indlæse en skadelig kode, hver gang den genstartes.”

Se også: Hotel front skriveborde er nu et arnested for hackere

Den anden svaghed offentliggjort på samme tid påvirker Kaspersky Sikker Forbindelse til et virtuelt privat netværk (VPN) klient indsat med Kaspersky Internet Security-løsninger til at skabe en sikker forbindelse med leverandørens servere.

Sporet som CVE-2019-15689, denne fejl kan kun blive misbrugt, hvis en angriber har allerede sikret sig administratorrettigheder på versioner af software 4.0.

Kaspersky Sikker Forbindelse også kører som NT AUTHORITYSYSTEM, og på samme måde som de førnævnte Trend Micro spørgsmål, Kaspersky Sikker Forbindelse 3.0.0 service (KSDE) ser for manglende Dll-filer, der åbner en vej for misbrug via ukontrolleret søg stier og ingen signatur validering.

Potentielt egnet som en del af en post-udnytte kæde, den svaghed, tillader vilkårlig DLL-indlæsning underskrevet af AO Kaspersky Lab og i stand til at køre med høj tilladelsesniveauer.

TechRepublic: Hvordan credential fyld angreb arbejde, og hvordan man kan undgå dem

Den endelige sårbarhed, CVE-2019-7365, blev opdaget i Autodesk-desktop-applikationen. Desktop-app — AdAppMgrSvc.exe — er relateret til Autodesk software fra 2017 til i dag og kører med NT AUTHORITYSYSTEM. En manglende DLL-kald, der foretages af en ledsager bibliotek også tilladt indlæsning af vilkårlig Dll-filer. Hertil kommer, at der ikke er nogen digitale certifikat validering, og så unsigned Dll ‘ er kan udføres.

“Efter en hacker får adgang til en computer, kunne han have begrænset privilegier, som kan begrænse adgang til visse filer og data,” siger forskerne. “Tjenesten giver ham evnen til at fungere som NT AUTHORITYSYSTEM, som er den mest kraftfulde bruger i Windows, så han kan få adgang til næsten hver fil og proces, der tilhører den bruger på computer.”

De sårbarheder rapporteret, at Trend Micro, Kaspersky, og Autodesk i juli, med hver sikkerhedshul bekræftes i samme måned eller i August.

Trend Micro bad om tid ud over det sædvanlige 90-dag politik, og efter at løse de spørgsmål, som blev offentliggjort security advisory for November 25. Kaspersky lappet fejl og offentliggjort en security advisory n 2 December. Autodesk er endnu ikke frigive en bulletin. En Kaspersky talsmand fortalte ZDNet:

“Kaspersky har fastsat et sikkerhedsproblem, der findes i Kaspersky Sikker Forbindelse, der potentielt kan give tredjeparter, til lokalt at udføre vilkårlig kode. For at udnytte denne fejl, og en angriber ville være nødt til at have lokale administratorrettigheder og fuld kontrol over computeren.

Dette problem blev løst ved at lappe 2020 E, der leveres til brugerne via Kaspersky ‘ s automatiske opdatering procedurer. En kan være nødvendigt at genstarte for at anvende disse opdateringer.”

CNET: Facebook bygget en facial anerkendelse app til medarbejdere

ZDNet har nået ud til at Trend Micro og Autodesk med yderligere forespørgsler, men har ikke hørt tilbage på tidspunktet for offentliggørelsen.

Tidligere og relaterede dækning

Disse sårbarheder i software top MITRE ‘ s mest farlige liste
McAfee antivirus software påvirket af kode sårbarhed
Angriberne ved hjælp af WhatsApp MP4 video filer sårbarhed kan eksekvere kode via fjernadgang

Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

Charlie Osborne

Ved Charlie Osborne

for Nul-Dag

| December 2, 2019 — 14:12 GMT (14:12 GMT)

| Emne: Sikkerhed