i-SENS : Exécution de code arbitraire via le logiciel de suivi des diabètes

Une vulnérabilité de type « DLL Hijacking » a été découverte dans le logiciel de la société « I-Sens, Inc » servant au suivi des taux de glucose pour les diabétiques.

Lors de l’installation de la solution, un contrôle d’accès insuffisant est mis en place sur le répertoire de la solution, permettant à un attaquant ayant préalablement obtenu un accès utilisateur sur le poste de modifier les fichiers de configuration et librairies dynamiques (DLL) présentes dans ce répertoire.

Un attaquant serait ainsi en mesure de remplacer une librairie de l’application et de parvenir à faire exécuter du code de manière arbitraire avec les privilèges de l’application lors de l’appel de fonctionnalités utilisées par le logiciel. 

Cette vulnérabilité pourrait ainsi lui permettre d’augmenter ses privilèges sur le poste déployant la solution ou de se créer un accès distant vers celui-ci pour planifier une attaque de plus grande envergure.

Informations
+

Existence d'un code d'exploitation de la vulnérabilité

Aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.

Composants et versions vulnérables

SmartLog Diabetes Management Software, versions 2.4 et inférieures.

CVE

CVE-2017-13993


Recommandations
+

Correctifs

Un correctif de sécurité a été publié par l’éditeur de la solution.

Il s’agit de la version 2.4.1 disponible à l’adresse suivante :

http://push.i-sens.com/smartlog2/2.4.1/Install_SmartLog_2.4.1.exe

Solution de contournement

En l’absence d’installation du correctif de sécurité, nous vous recommandons d’appliquer les mesures de contournement ci-dessous :

  • Modification des droits d’accès du répertoire contenant l’exécutable de la solution
  • Supprimer les accès en écriture sur ce répertoire et sur les librairies dynamiques de la solution pour tous les utilisateurs non autorisés