SafeBreach Labs a découvert une nouvelle vulnérabilité dans le logiciel Symantec Endpoint Protection.
"},{"id":"text-2","type":"text","heading":"","plain_text":"mohamed_hassan / Pixabay","html":"mohamed_hassan / Pixabay
"},{"id":"text-3","type":"text","heading":"","plain_text":"Dans cet article, nous montrerons comment cette vulnérabilité aurait pu être utilisée pour contourner le mécanisme d’autodéfense de Symantec et réaliser défense évasion, persistance et élévation de privilèges en chargeant un DLL non signée arbitraire dans un processus signé par Symantec et exécuté sous NT AUTHORITY SYSTEM.","html":"Dans cet article, nous montrerons comment cette vulnérabilité aurait pu être utilisée pour contourner le mécanisme d’autodéfense de Symantec et réaliser défense évasion, persistance et élévation de privilèges en chargeant un DLL non signée arbitraire dans un processus signé par Symantec et exécuté sous NT AUTHORITY SYSTEM.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Obtenez notre étude de cas sur l'investissement dans les activistes!\nObtenez l'intégralité de la série de 10 articles sur notre étude approfondie sur les investissements d'activistes en PDF. Enregistrez-le sur votre bureau, lisez-le sur votre tablette ou imprimez-le pour le lire n'importe où! Inscrivez-vous ci-dessous!","html":"Obtenez notre étude de cas sur l'investissement dans les activistes!\nObtenez l'intégralité de la série de 10 articles sur notre étude approfondie sur les investissements d'activistes en PDF. Enregistrez-le sur votre bureau, lisez-le sur votre tablette ou imprimez-le pour le lire n'importe où! Inscrivez-vous ci-dessous!
"},{"id":"text-5","type":"text","heading":"","plain_text":"T3 2019 Lettres de fonds de couverture, conférences et plus\nRemarque: Afin d'exploiter cette vulnérabilité, l'attaquant doit disposer des privilèges d'administrateur.\nSymantec Endpoint Protection\nSymantec Endpoint Protection est une suite logicielle de sécurité comprenant des fonctionnalités de protection contre les logiciels malveillants, de prévention des intrusions et de pare-feu pour les ordinateurs de serveur et les ordinateurs de bureau. Il a été développé par Symantec et possède la plus grande part de marché de tous les produits pour la sécurité des terminaux.\nPlusieurs parties du logiciel sont exécutées comme un service Windows exécuté sous le nom «NT AUTHORITY SYSTEM», ce qui lui confère des autorisations très puissantes.\nDans cet article, nous décrivons la vulnérabilité rencontrée dans le logiciel Symantec Endpoint Protection. Nous montrons ensuite comment cette vulnérabilité peut être exploitée pour réaliser une exécution de code arbitraire dans le contexte d'un service Symantec, en obtenant l'accès avec les privilèges de niveau NT AUTHORITY SYSTEM.\nVulnérabilité\nDécouverte\nDans notre exploration, nous avons trouvé un service (SepMasterService) de Symantec Endpoint Protection qui s'exécute en tant que processus signé et comme NT AUTHORITY SYSTEM, qui tente de charger la DLL suivante qui n’existe pas:\nc: Windows SysWOW64 wbem DSPARSE.dll","html":"T3 2019 Lettres de fonds de couverture, conférences et plus\nRemarque: Afin d'exploiter cette vulnérabilité, l'attaquant doit disposer des privilèges d'administrateur.\nSymantec Endpoint Protection\nSymantec Endpoint Protection est une suite logicielle de sécurité comprenant des fonctionnalités de protection contre les logiciels malveillants, de prévention des intrusions et de pare-feu pour les ordinateurs de serveur et les ordinateurs de bureau. Il a été développé par Symantec et possède la plus grande part de marché de tous les produits pour la sécurité des terminaux.\nPlusieurs parties du logiciel sont exécutées comme un service Windows exécuté sous le nom «NT AUTHORITY SYSTEM», ce qui lui confère des autorisations très puissantes.\nDans cet article, nous décrivons la vulnérabilité rencontrée dans le logiciel Symantec Endpoint Protection. Nous montrons ensuite comment cette vulnérabilité peut être exploitée pour réaliser une exécution de code arbitraire dans le contexte d'un service Symantec, en obtenant l'accès avec les privilèges de niveau NT AUTHORITY SYSTEM.\nVulnérabilité\nDécouverte\nDans notre exploration, nous avons trouvé un service (SepMasterService) de Symantec Endpoint Protection qui s'exécute en tant que processus signé et comme NT AUTHORITY SYSTEM, qui tente de charger la DLL suivante qui n’existe pas:\nc: Windows SysWOW64 wbem DSPARSE.dll
"},{"id":"text-6","type":"text","heading":"","plain_text":"Si nous pouvons prouver que nous pouvons réellement être chargés dans ce processus, nous serons en mesure de contourner le mécanisme d'autodéfense du logiciel antivirus, principalement parce que les dossiers du logiciel Symantec Endpoint Protection sont protégés par un pilote de système de fichiers à mini-filtre, ce qui limite les opérations d'écriture même par un administrateur.\nCela signifie que même si nous exécutons en tant qu’administrateur et souhaitons implanter une DLL qui n’existe pas afin de la charger dans les processus Symantec, nous ne pourrons pas le faire.\nDémonstration PoC\nAfin de tester cette vulnérabilité, nous avons compilé une DLL proxy 32 bits (non signée) à partir du fichier DLL d'origine dsparse.dll (qui se trouve réellement dans SysWow64 et non dans le dossier SysWow64 Wbem), qui écrit ce qui suit dans le nom du fichier. d'un fichier txt:","html":"Si nous pouvons prouver que nous pouvons réellement être chargés dans ce processus, nous serons en mesure de contourner le mécanisme d'autodéfense du logiciel antivirus, principalement parce que les dossiers du logiciel Symantec Endpoint Protection sont protégés par un pilote de système de fichiers à mini-filtre, ce qui limite les opérations d'écriture même par un administrateur.\nCela signifie que même si nous exécutons en tant qu’administrateur et souhaitons implanter une DLL qui n’existe pas afin de la charger dans les processus Symantec, nous ne pourrons pas le faire.\nDémonstration PoC\nAfin de tester cette vulnérabilité, nous avons compilé une DLL proxy 32 bits (non signée) à partir du fichier DLL d'origine dsparse.dll (qui se trouve réellement dans SysWow64 et non dans le dossier SysWow64 Wbem), qui écrit ce qui suit dans le nom du fichier. d'un fichier txt:
"},{"id":"text-7","type":"text","heading":"","plain_text":"Le nom du processus qui l'a chargé\nLe nom d'utilisateur qui l'a exécuté\nLe nom du fichier DLL","html":"Le nom du processus qui l'a chargé\nLe nom d'utilisateur qui l'a exécuté\nLe nom du fichier DLL
"},{"id":"text-8","type":"text","heading":"","plain_text":"Nous l'avons ensuite implanté dans C: Windows SysWow64 Wbem et avons redémarré l'ordinateur:","html":"Nous l'avons ensuite implanté dans C: Windows SysWow64 Wbem et avons redémarré l'ordinateur:
"},{"id":"text-9","type":"text","heading":"","plain_text":"Nous avons pu charger une DLL proxy arbitraire (qui en a chargé une autre) et exécuter notre code dans un processus de service signé par Symantec Corporation sous le nom NT AUTHORITY SYSTEM, ce qui a pour effet de contourner le mécanisme de légitime défense du programme.\nAnalyse de la cause originelle\nIl existe plusieurs composants dans plusieurs fichiers qui sont à l'origine de ce problème. Nous allons analyser l'un d'entre eux car la cause première est toujours très similaire.\nUne fois que le processus du service «Symantec Endpoint Protection» (ccSvcHst.exe) est lancé, il tente d’exécuter une requête WMI à l’aide d’une fonction de l’interface COM IWbemServices (IWbemServices :: ExecNotificationQueryAsync):","html":"Nous avons pu charger une DLL proxy arbitraire (qui en a chargé une autre) et exécuter notre code dans un processus de service signé par Symantec Corporation sous le nom NT AUTHORITY SYSTEM, ce qui a pour effet de contourner le mécanisme de légitime défense du programme.\nAnalyse de la cause originelle\nIl existe plusieurs composants dans plusieurs fichiers qui sont à l'origine de ce problème. Nous allons analyser l'un d'entre eux car la cause première est toujours très similaire.\nUne fois que le processus du service «Symantec Endpoint Protection» (ccSvcHst.exe) est lancé, il tente d’exécuter une requête WMI à l’aide d’une fonction de l’interface COM IWbemServices (IWbemServices :: ExecNotificationQueryAsync):
"},{"id":"text-10","type":"text","heading":"","plain_text":"Un bref aperçu de OleViewDotNet nous montrera que cette interface COM (et ses fonctions) est implémentée à l’aide de la bibliothèque de proxy COM «C: Windows SysWow64 wbem fastprox.dll» (dans notre cas, il s’agit d’un processus WOW64):","html":"Un bref aperçu de OleViewDotNet nous montrera que cette interface COM (et ses fonctions) est implémentée à l’aide de la bibliothèque de proxy COM «C: Windows SysWow64 wbem fastprox.dll» (dans notre cas, il s’agit d’un processus WOW64):
"},{"id":"text-11","type":"text","heading":"","plain_text":"Après avoir appelé la fonction ExecNotificationQueryAsync de la bibliothèque fastprox.dll, la fonction DsCrackSpnW sera appelée:","html":"Après avoir appelé la fonction ExecNotificationQueryAsync de la bibliothèque fastprox.dll, la fonction DsCrackSpnW sera appelée:
"},{"id":"text-12","type":"text","heading":"","plain_text":"Nous pouvons voir que cette fonction est importée de dsparse.dll, ce qui oblige le service à essayer de charger cette DLL.","html":"Nous pouvons voir que cette fonction est importée de dsparse.dll, ce qui oblige le service à essayer de charger cette DLL.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Il existe deux causes fondamentales à cette vulnérabilité:","html":"Il existe deux causes fondamentales à cette vulnérabilité:
"},{"id":"text-14","type":"text","heading":"","plain_text":"Pas de validation de signature numérique est faite contre le binaire. Le programme ne valide pas si la DLL qu'il est en train de charger est signée (par exemple, en utilisant le WinVerifyTrust une fonction). Par conséquent, il peut charger une DLL non signée arbitraire.\nLa bibliothèque fastprox.dll tente d’importer le fichier dsparse.dll fde son répertoire de travail actuel (CWD), qui correspond à C: Windows SysWow64 Wbem, alors que le fichier se trouve réellement dans le dossier SysWow64.","html":"Pas de validation de signature numérique est faite contre le binaire. Le programme ne valide pas si la DLL qu'il est en train de charger est signée (par exemple, en utilisant le WinVerifyTrust une fonction). Par conséquent, il peut charger une DLL non signée arbitraire.\nLa bibliothèque fastprox.dll tente d’importer le fichier dsparse.dll fde son répertoire de travail actuel (CWD), qui correspond à C: Windows SysWow64 Wbem, alors que le fichier se trouve réellement dans le dossier SysWow64.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Usages malveillants potentiels et impact\nNous présentons ci-dessous trois manières possibles pour un attaquant d'exploiter la vulnérabilité découverte et documentée ci-dessus.\nÉvasion de la défense, exécution signée, contournement de la liste blanche\nLa vulnérabilité donne aux attaquants la possibilité de charger et exécuter des charges malveillantes dans le contexte d’un processus signé par Symantec. Un attaquant peut abuser de cette capacité à différentes fins, telles que l'exécution et l'évasion, par exemple: Contournement de la liste blanche des applications. L’antivirus peut ne pas détecter le fichier binaire de l’attaquant, car il essaie de le charger sans vérification.\nMécanisme de persistance\nCette vulnérabilité permet aux attaquants de charger et d’exécuter des charges utiles malveillantes de manière persistante, chaque fois que les services sont chargés. Cela signifie qu'une fois que l'attaquant aura abandonné une DLL malveillante, les services chargeront le code malveillant à chaque redémarrage.\nEscalade de privilège\nLes services lui fournissent la capacité de fonctionner en tant qu’autorité NT SYSTEM.\nVersions affectées\nToutes les versions antérieures à Symantec Endpoint Protection 14.2 RU2\nChronologie\n5 août 2019 – Vulnérabilité signalée à Symantec\n6 août 2019 – Symantec a confirmé la vulnérabilité\n22 août 2019 – Symantec a fourni une chronologie pour un correctif.\n16 septembre 2019 – Symantec a annoncé qu’il ferait un suivi à la mi-octobre avec un calendrier définitif et qu’il assignerait également un CVE.\n15 octobre 2019 – Mise à jour de statut de Symantec\n19 octobre, 2019 – Symantec a fourni un calendrier définitif (un avis sera publié le 11 novembre).\n21 octobre 2019 – Symantec a fourni les produits et versions concernés.\n31 octobre 2019 – Symantec a publié CVE-2019-12758","html":"Usages malveillants potentiels et impact\nNous présentons ci-dessous trois manières possibles pour un attaquant d'exploiter la vulnérabilité découverte et documentée ci-dessus.\nÉvasion de la défense, exécution signée, contournement de la liste blanche\nLa vulnérabilité donne aux attaquants la possibilité de charger et exécuter des charges malveillantes dans le contexte d’un processus signé par Symantec. Un attaquant peut abuser de cette capacité à différentes fins, telles que l'exécution et l'évasion, par exemple: Contournement de la liste blanche des applications. L’antivirus peut ne pas détecter le fichier binaire de l’attaquant, car il essaie de le charger sans vérification.\nMécanisme de persistance\nCette vulnérabilité permet aux attaquants de charger et d’exécuter des charges utiles malveillantes de manière persistante, chaque fois que les services sont chargés. Cela signifie qu'une fois que l'attaquant aura abandonné une DLL malveillante, les services chargeront le code malveillant à chaque redémarrage.\nEscalade de privilège\nLes services lui fournissent la capacité de fonctionner en tant qu’autorité NT SYSTEM.\nVersions affectées\nToutes les versions antérieures à Symantec Endpoint Protection 14.2 RU2\nChronologie\n5 août 2019 – Vulnérabilité signalée à Symantec\n6 août 2019 – Symantec a confirmé la vulnérabilité\n22 août 2019 – Symantec a fourni une chronologie pour un correctif.\n16 septembre 2019 – Symantec a annoncé qu’il ferait un suivi à la mi-octobre avec un calendrier définitif et qu’il assignerait également un CVE.\n15 octobre 2019 – Mise à jour de statut de Symantec\n19 octobre, 2019 – Symantec a fourni un calendrier définitif (un avis sera publié le 11 novembre).\n21 octobre 2019 – Symantec a fourni les produits et versions concernés.\n31 octobre 2019 – Symantec a publié CVE-2019-12758
"},{"id":"text-16","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"SafeBreach Labs a découvert une nouvelle vulnérabilité dans le logiciel Symantec Endpoint Protection."},{"id":"text-2","heading":"Text","content":"mohamed_hassan / Pixabay"},{"id":"text-3","heading":"Text","content":"Dans cet article, nous montrerons comment cette vulnérabilité aurait pu être utilisée pour contourner le mécanisme d’autodéfense de Symantec et réaliser défense évasion, persistance et élévation de privilèges en chargeant un DLL non signée arbitraire dans un processus signé par Symantec et exécuté sous NT AUTHORITY SYSTEM."},{"id":"text-4","heading":"Text","content":"Obtenez notre étude de cas sur l'investissement dans les activistes!\nObtenez l'intégralité de la série de 10 articles sur notre étude approfondie sur les investissements d'activistes en PDF. Enregistrez-le sur votre bureau, lisez-le sur votre tablette ou imprimez-le pour le lire n'importe où! Inscrivez-vous ci-dessous!"},{"id":"text-5","heading":"Text","content":"T3 2019 Lettres de fonds de couverture, conférences et plus\nRemarque: Afin d'exploiter cette vulnérabilité, l'attaquant doit disposer des privilèges d'administrateur.\nSymantec Endpoint Protection\nSymantec Endpoint Protection est une suite logicielle de sécurité comprenant des fonctionnalités de protection contre les logiciels malveillants, de prévention des intrusions et de pare-feu pour les ordinateurs de serveur et les ordinateurs de bureau. Il a été développé par Symantec et possède la plus grande part de marché de tous les produits pour la sécurité des terminaux.\nPlusieurs parties du logiciel sont exécutées comme un service Windows exécuté sous le nom «NT AUTHORITY SYSTEM», ce qui lui confère des autorisations très puissantes.\nDans cet article, nous décrivons la vulnérabilité rencontrée dans le logiciel Symantec Endpoint Protection. Nous montrons ensuite comment cette vulnérabilité peut être exploitée pour réaliser une exécution de code arbitraire dans le contexte d'un service Symantec, en obtenant l'accès avec les privilèges de niveau NT AUTHORITY SYSTEM.\nVulnérabilité\nDécouverte\nDans notre exploration, nous avons trouvé un service (SepMasterService) de Symantec Endpoint Protection qui s'exécute en tant que processus signé et comme NT AUTHORITY SYSTEM, qui tente de charger la DLL suivante qui n’existe pas:\nc: Windows SysWOW64 wbem DSPARSE.dll"},{"id":"text-6","heading":"Text","content":"Si nous pouvons prouver que nous pouvons réellement être chargés dans ce processus, nous serons en mesure de contourner le mécanisme d'autodéfense du logiciel antivirus, principalement parce que les dossiers du logiciel Symantec Endpoint Protection sont protégés par un pilote de système de fichiers à mini-filtre, ce qui limite les opérations d'écriture même par un administrateur.\nCela signifie que même si nous exécutons en tant qu’administrateur et souhaitons implanter une DLL qui n’existe pas afin de la charger dans les processus Symantec, nous ne pourrons pas le faire.\nDémonstration PoC\nAfin de tester cette vulnérabilité, nous avons compilé une DLL proxy 32 bits (non signée) à partir du fichier DLL d'origine dsparse.dll (qui se trouve réellement dans SysWow64 et non dans le dossier SysWow64 Wbem), qui écrit ce qui suit dans le nom du fichier. d'un fichier txt:"},{"id":"text-7","heading":"Text","content":"Le nom du processus qui l'a chargé\nLe nom d'utilisateur qui l'a exécuté\nLe nom du fichier DLL"},{"id":"text-8","heading":"Text","content":"Nous l'avons ensuite implanté dans C: Windows SysWow64 Wbem et avons redémarré l'ordinateur:"},{"id":"text-9","heading":"Text","content":"Nous avons pu charger une DLL proxy arbitraire (qui en a chargé une autre) et exécuter notre code dans un processus de service signé par Symantec Corporation sous le nom NT AUTHORITY SYSTEM, ce qui a pour effet de contourner le mécanisme de légitime défense du programme.\nAnalyse de la cause originelle\nIl existe plusieurs composants dans plusieurs fichiers qui sont à l'origine de ce problème. Nous allons analyser l'un d'entre eux car la cause première est toujours très similaire.\nUne fois que le processus du service «Symantec Endpoint Protection» (ccSvcHst.exe) est lancé, il tente d’exécuter une requête WMI à l’aide d’une fonction de l’interface COM IWbemServices (IWbemServices :: ExecNotificationQueryAsync):"},{"id":"text-10","heading":"Text","content":"Un bref aperçu de OleViewDotNet nous montrera que cette interface COM (et ses fonctions) est implémentée à l’aide de la bibliothèque de proxy COM «C: Windows SysWow64 wbem fastprox.dll» (dans notre cas, il s’agit d’un processus WOW64):"},{"id":"text-11","heading":"Text","content":"Après avoir appelé la fonction ExecNotificationQueryAsync de la bibliothèque fastprox.dll, la fonction DsCrackSpnW sera appelée:"},{"id":"text-12","heading":"Text","content":"Nous pouvons voir que cette fonction est importée de dsparse.dll, ce qui oblige le service à essayer de charger cette DLL."},{"id":"text-13","heading":"Text","content":"Il existe deux causes fondamentales à cette vulnérabilité:"},{"id":"text-14","heading":"Text","content":"Pas de validation de signature numérique est faite contre le binaire. Le programme ne valide pas si la DLL qu'il est en train de charger est signée (par exemple, en utilisant le WinVerifyTrust une fonction). Par conséquent, il peut charger une DLL non signée arbitraire.\nLa bibliothèque fastprox.dll tente d’importer le fichier dsparse.dll fde son répertoire de travail actuel (CWD), qui correspond à C: Windows SysWow64 Wbem, alors que le fichier se trouve réellement dans le dossier SysWow64."},{"id":"text-15","heading":"Text","content":"Usages malveillants potentiels et impact\nNous présentons ci-dessous trois manières possibles pour un attaquant d'exploiter la vulnérabilité découverte et documentée ci-dessus.\nÉvasion de la défense, exécution signée, contournement de la liste blanche\nLa vulnérabilité donne aux attaquants la possibilité de charger et exécuter des charges malveillantes dans le contexte d’un processus signé par Symantec. Un attaquant peut abuser de cette capacité à différentes fins, telles que l'exécution et l'évasion, par exemple: Contournement de la liste blanche des applications. L’antivirus peut ne pas détecter le fichier binaire de l’attaquant, car il essaie de le charger sans vérification.\nMécanisme de persistance\nCette vulnérabilité permet aux attaquants de charger et d’exécuter des charges utiles malveillantes de manière persistante, chaque fois que les services sont chargés. Cela signifie qu'une fois que l'attaquant aura abandonné une DLL malveillante, les services chargeront le code malveillant à chaque redémarrage.\nEscalade de privilège\nLes services lui fournissent la capacité de fonctionner en tant qu’autorité NT SYSTEM.\nVersions affectées\nToutes les versions antérieures à Symantec Endpoint Protection 14.2 RU2\nChronologie\n5 août 2019 – Vulnérabilité signalée à Symantec\n6 août 2019 – Symantec a confirmé la vulnérabilité\n22 août 2019 – Symantec a fourni une chronologie pour un correctif.\n16 septembre 2019 – Symantec a annoncé qu’il ferait un suivi à la mi-octobre avec un calendrier définitif et qu’il assignerait également un CVE.\n15 octobre 2019 – Mise à jour de statut de Symantec\n19 octobre, 2019 – Symantec a fourni un calendrier définitif (un avis sera publié le 11 novembre).\n21 octobre 2019 – Symantec a fourni les produits et versions concernés.\n31 octobre 2019 – Symantec a publié CVE-2019-12758"},{"id":"text-16","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/12/Antivirus__1571435214.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/12/03/vulnerabilite-de-symantec-endpoint-protection-decouverte-safebreach-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/12/03/vulnerabilite-de-symantec-endpoint-protection-decouverte-safebreach-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/12/03/vulnerabilite-de-symantec-endpoint-protection-decouverte-safebreach-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}