Des vulnérabilités ont été identifiées dans la version 10.7 de Sophos Endpoint Protection

Deux vulnérabilités ont été identifiées sur la solution Sophos Endpoint Protection dans sa version 10.7. Elles ont été référencées comme suit :

  • CVE-2018-4863 : il est possible de contourner la protection de Sophos Endpoint, "Enhanced Tamper Protection", en redémarrant le système après avoir supprimé la clé de registre "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\Sophos Endpoint Defense\".  Une fois cette protection contournée, des attaquants pourraient créer des clés de registre arbitraires ou modifier des clés et paramètres sous la protection de "Enhanced Tamper Protection" ;

  • CVE-2018-9233 : l'authentification au panneau de contrôle utilise un algorithme de hachage faible sans sel. Ainsi, un attaquant récupérant les hachs pourrait facilement les casser en effectuant une attaque par dictionnaire. En accédant au panneau de contrôle, les attaquants pourraient changer les paramètres ou sortir des fichiers de quarantaine.

Informations
+

Impact

  • Désactivation et modification de la configuration de Sophos Endpoint Protection;

  • Contournement de la politique de sécurité et de l'authentification.

Criticité

  • CVSS v3 : Le score CVSS n'a pas encore été identifié.

Existence d’un code d’exploitation de la vulnérabilité

  • CVE-2018-4863 : exploit disponible dans la section "Exploit/POC" du bulletin de Seclists ;

  • CVE-2018-9233 : exploit disponible dans la section "Exploit/POC" du bulletin de Seclists.

Composants & versions vulnérables

  • Sophos Endpoint Protection version 10.7

CVE

  • CVE-2018-4863
  • CVE-2018-9233


Recommandations
+

Correctifs

  • CVE-2018-4863 : les versions 10.8.1 et supérieures ne sont pas affectées ;

  • CVE-2018-9233 : pas de correctif pour le moment.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.