Une élévation de privilège découverte dans le logiciel Checkpoint Endpoint Security

La suite logicielle Endpoint Security de l’entreprise Check Point permet de gérer de nombreux aspects de la sécurité sur un poste utilisateur, allant du chiffrement du disque dur et des médias amovibles à la mise en place de tunnels VPN. Ce mois-ci, des chercheurs de SafeBreach ont découvert une vulnérabilité dans le logiciel qui pourrait permettre à un attaquant de réaliser une élévation locale de privilèges sur une machine utilisateur possédant ce logiciel.

Check Point a publié une mise à jour de sa suite logicielle et encourage les utilisateurs à l’appliquer dans les meilleurs délais.

Détails techniques :

• CVE-2019-8461 [Score CVSS v3 en attente d’évaluation] : La vulnérabilité repose sur un manque de contrôle réalisé lors du chargement d’une DLL (bibliothèque logicielle Windows) manquante. En effet, au démarrage d’un des processus du logiciel, celui-ci tente de charger la DLL « atl110.dll » en cherchant dans tous les chemins existant dans la variable d’environnement PATH (variable contenant normalement la liste des répertoires dans lesquels sont positionnés des fichiers exécutables). S’il trouve un fichier qui correspond, il va le charger sans effectuer de vérification sur son origine ou sur sa signature numérique. Ainsi, un utilisateur pouvant écrire dans n’importe lequel des répertoires du PATH peut créer et compiler sa propre DLL avec le nom atl110.dll, DLL qui sera chargée par Endpoint Security au démarrage. Comme le logiciel tourne avec les privilèges système les plus élevés, le code injecté sera exécuté avec les mêmes privilèges. L’utilisateur peut donc exécuter du code avec des privilèges système.