Plusieurs vulnérabilités identifiées dans les produits Symantec Endpoint Protection
Date de publication :
L’éditeur de solution antivirus Symantec vient de publier des mises à jour pour sa gamme de produit Symantec Endpoint Protection après l’identification de plusieurs vulnérabilités.
Ces vulnérabilités pourraient permettre à un attaquant disposant d'un compte à faibles privilèges d’obtenir des privilèges plus élevés (SYSTEM) sur une machine exécutant un produit Symantec vulnérable.
CVE-2019-12759[Score CVSSv3 7.8] :
La vulnérabilité permet à un attaquant, en invoquant une méthode de la classe « stDisScriptEngine » du module de mise à jour LiveUpdate (LuComServer), de réaliser une exécution de code arbitraire avec des droits SYSTEM.
CVE-2019-12757[Score CVSSv3 7.3] :
Lorsque le mécanisme de protection « Tamper Protection » de Symantec Endpoint Protection est désactivé, un attaquant peut exploiter le service « ccSvcHst.exe » afin d’élever ses privilèges sur le système cible.
En effet, le moteur de scan « ccSvcHst.exe » utilise la clef de registre « HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\<USERSID>\Custom Tasks\ » pour effectuer les scans de fichiers.
Dans le cas où la clef de registre est inexistante, celle-ci est créée par le service avec les droits « FullControl » pour l’utilisateur courant. Un attaquant pourrait définir en amont un lien symbolique de registre « HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\<USERSID>\ » vers un registre arbitraire. Ce registre arbitraire obtiendrait les droits « NT AUTHORITY\SYSTEM » lors de l’exécution de « ccSvcHst.exe ».
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Contournement de la politique de sécurité
- Élévation de privilèges
Criticité
- Score CVSS : 7.8
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- Symantec Endpoint Protection Manager (SEPM) versions antérieures à 14.2 RU1
- Symantec Endpoint Protection (SEP) versions antérieures à 14.2 RU1
- Symantec Endpoint Protection Small Business Edition (SEP SBE) versions antérieures à 12.1 RU6 MP10d (12.1.7510.7002)
- Symantec Mail Security for MS Exchange (SMSMSE) versions antérieures à 7.9.x
CVE
- CVE-2018-18368[Score CVSS : 6.8]
- CVE-2019-12759[Score CVSS : 7.8]
- CVE-2019-12756[Score CVSS : 2.3]
- CVE-2019-12758[Score CVSS : 3.4]
- CVE-2019-18372[Score CVSS : 5.3]
- CVE-2019-12757[Score CVSS : 7.3]
Solutions ou recommandations
Mise en place de correctif de sécurité
- Il est recommandé de mettre à jour les produits Symantec Endpoint Protection et Symantec Mail Security for MS.
Solution de contournement
- Aucune solution n'a été proposée autre que la mise à jour.
- CVE-2019–12757 : L’activation de la fonctionnalité « Tamper Protection » empêche l’exploitation de cette vulnérabilité