Deux vulnérabilités critiques sur les produits Symantec Endpoint Protection et Symantec Endpoint Protection Small Business

Les équipes de Symantec ont découvert une vulnérabilité critique sur les produits Symantec Endpoint Protection et Symantec Endpoint Protection Small Business. 

Celle-ci permet à un attaquant d’obtenir une élévation de privilèges et de compromettre l’application afin d’obtenir un accès à des ressources normalement protégées.

Les détails techniques de cette vulnérabilité sont pour l’instant inconnus et aucune preuve de faisabilité n’a été publié.

Informations
+

Risques :

  • Escalade de privilège.

Criticité :

  • Score CVSS : 7.8

Existence d’un code d’exploitation de la vulnérabilité :

  • Aucun code d’exploitation n’a été rendu public pour le moment, l’équipe de chercheurs ne l’a pas partagé à ce stade.

Composants & versions vulnérables :

  • Symantec Endpoint Protection (SEP), toutes les versions antérieures à 14.2 RU1 et 12.1 RU6 MP10
  • Symantec Endpoint Protection Small Business Edition (SEP SBE), toutes les versions antérieures à 12.1 RU6 MP10c (12.1.7491.7002)

CVE :

  • CVE-2019-12750

Recommandations
+

Mise en place de correctif de sécurité

Symantec a déployé une mise à jour pour ses produits Symantec Endpoint Protection et Symantec Endroit Protection Small Business afin de résoudre cette vulnérabilité.

  • Symantec Endpoint Protection (SEP) : Installation de la nouvelle version 14.2 RU1
  • Symantec Endpoint Protection Small Business Edition (SEP SBE) : Installation de la nouvelle version 12.1 RU6 MP10c (12.1.7491.7002)

Les dernières versions et correctifs pour Symantec Endpoint Protection et Symantec Endpoint Protection Édition PME sont disponibles par le biais des canaux de support normaux. Pour le moment, Symantec n’a connaissance d’aucune exploitation ni d’impact négatif sur ses clients.

Remarque : pour les clients qui n'utilisent pas actuellement le logiciel « Application and Device Control » (ADC), ceux-ci peuvent utiliser les instructions de la note technique suivante pour atténuer provisoirement le problème actuel : https://symantec.com/docs/TECH255484

Solution de contournement

  • Aucune solution de contournement n’a été identifiée en dehors de la mise à jour.

Recommandation pour la sécurité des postes 

Symantec recommande les mesures suivantes pour réduire les risques d’attaque:

  • Limiter l'accès aux systèmes d'administration et de gestion, aux utilisateurs privilégiés autorisés.
  • Limiter l'accès à distance uniquement aux systèmes approuvés / autorisés.
  • Utiliser le principe du moindre privilège, dans la mesure du possible, pour limiter l’impact des exploits potentiels.
  • Maintenir tous les systèmes d'exploitation et applications à jour avec les correctifs du fournisseur.
  • Suivre une approche multicouche de la sécurité. Au minimum, utiliser des applications de parefeu et anti-malware pour fournir plusieurs points de détection et de protection contre les menaces entrantes et sortantes.
  • Déployer des systèmes de détection d'intrusion sur le réseau et sur l'hôte pour surveiller le trafic réseau, à la recherche d'indices d'activité anormale ou suspecte. Cela peut aider à détecter les attaques ou les activités malveillantes liées à l’exploitation de vulnérabilités existantes.