Plusieurs vulnérabilités identifiées dans les produits Symantec Endpoint Protection

L’éditeur de solution antivirus Symantec vient de publier des mises à jour pour sa gamme de produit Symantec Endpoint Protection après l’identification de plusieurs vulnérabilités.

Ces vulnérabilités pourraient permettre à un attaquant disposant d'un compte à faibles privilèges d’obtenir des privilèges plus élevés (SYSTEM) sur une machine exécutant un produit Symantec vulnérable.

CVE-2019-12759 [Score CVSSv3 7.8] :

La vulnérabilité permet à un attaquant, en invoquant une méthode de la classe « stDisScriptEngine » du module de mise à jour LiveUpdate (LuComServer), de réaliser une exécution de code arbitraire avec des droits SYSTEM.

CVE-2019-12757 [Score CVSSv3 7.3] :

Lorsque le mécanisme de protection « Tamper Protection » de Symantec Endpoint Protection est désactivé, un attaquant peut exploiter le service « ccSvcHst.exe » afin d’élever ses privilèges sur le système cible.

En effet, le moteur de scan « ccSvcHst.exe » utilise la clef de registre « HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\<USERSID>\Custom Tasks\ » pour effectuer les scans de fichiers.

Dans le cas où la clef de registre est inexistante, celle-ci est créée par le service avec les droits « FullControl » pour l’utilisateur courant. Un attaquant pourrait définir en amont un lien symbolique de registre « HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\<USERSID>\ » vers un registre arbitraire. Ce registre arbitraire obtiendrait les droits « NT AUTHORITY\SYSTEM » lors de l’exécution de « ccSvcHst.exe ».

Informations
+

Risques

  • Exécution de code arbitraire
  • Contournement de la politique de sécurité
  • Élévation de privilèges

Criticité

  • Score CVSS : 7.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Symantec Endpoint Protection Manager (SEPM) versions antérieures à 14.2 RU1
  • Symantec Endpoint Protection (SEP) versions antérieures à 14.2 RU1
  • Symantec Endpoint Protection Small Business Edition (SEP SBE) versions antérieures à 12.1 RU6 MP10d (12.1.7510.7002)
  • Symantec Mail Security for MS Exchange (SMSMSE) versions antérieures à 7.9.x

CVE


Recommandations
+

Mise en place de correctif de sécurité

  • Il est recommandé de mettre à jour les produits Symantec Endpoint Protection et Symantec Mail Security for MS.

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.
  • CVE-2019–12757 : L’activation de la fonctionnalité « Tamper Protection » empêche l’exploitation de cette vulnérabilité