Vulnérabilités dans Symantec Endpoint Protection

Date de publication :

De multiples vulnérabilités ont été découvertes dans Symantec Endpoint Protection (SEP) et Symantec Endpoint Protection Manager (SEPM). Elles peuvent permettre à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une élévation de privilèges.

CVE-2020-5837 [Score CVSS v3 : 7.8] : Lors de l’écriture sur des fichiers de logs qui sont remplacés par des liens symboliques, SEP peut ne pas respecter les permissions du fichier. Ce bogue peut conduire à une potentielle élévation de privilèges. 

CVE-2020-5836 [Score CVSS v3 : 6.7] : SEP peut potentiellement réinitialiser la liste de contrôle d’accès (ACL) d’un fichier en tant qu’utilisateur limité si Symantec Endpoint Protection's Tamper Protection est désactivé. 

CVE-2020-5835 [Score CVSS v3 : 6.7] : Lors du déploiement sur un client distant, SEP peut développer une situation de compétition (race condition) pouvant mener à une élévation de privilèges sur le système distant.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Criticité

  • Score CVSS v3 : 7.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible pour l’instant

Composants vulnérables

  • SEP et SEPM versions antérieures à la 14.3

CVE

  • CVE-2020-5833
  • CVE-2020-5834
  • CVE-2020-5835
  • CVE-2020-5836
  • CVE-2020-5837

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour SEP et / ou SEPM vers la version 14.3 (ou supérieure)

Solution de contournement

  • Symantec propose plusieurs mesures afin de réduire le risque d’une attaque : 

    • Restreindre l’accès aux systèmes d’administration et de management uniquement aux utilisateurs privilégiés 

    • Restreindre les accès distants uniquement aux systèmes autorisés ou de confiance

    • Utiliser le principe de moindre privilège

    • Appliquer les correctifs pour les applications et les systèmes dès que possible

    • Suivre une approche à multiples couches pour la sécurité d’un réseau

    • Déployer des systèmes de détection d’intrusion  

Liens