Plusieurs vulnérabilités identifiées dans les produits Symantec Endpoint Protection

L’éditeur de solution antivirus Symantec vient de publier des mises à jour pour sa gamme de produit Symantec Endpoint Protection après l’identification de plusieurs vulnérabilités.

Ces vulnérabilités pourraient permettre à un attaquant disposant d'un compte à faibles privilèges d’obtenir des privilèges plus élevés (SYSTEM) sur une machine exécutant un produit Symantec vulnérable.

CVE-2019-12759[Score CVSSv3 7.8] :

La vulnérabilité permet à un attaquant, en invoquant une méthode de la classe « stDisScriptEngine » du module de mise à jour LiveUpdate (LuComServer), de réaliser une exécution de code arbitraire avec des droits SYSTEM.

CVE-2019-12757[Score CVSSv3 7.3] :

Lorsque le mécanisme de protection « Tamper Protection » de Symantec Endpoint Protection est désactivé, un attaquant peut exploiter le service « ccSvcHst.exe » afin d’élever ses privilèges sur le système cible.

En effet, le moteur de scan « ccSvcHst.exe » utilise la clef de registre « HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\<USERSID>\Custom Tasks\ » pour effectuer les scans de fichiers.

Dans le cas où la clef de registre est inexistante, celle-ci est créée par le service avec les droits « FullControl » pour l’utilisateur courant. Un attaquant pourrait définir en amont un lien symbolique de registre « HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\<USERSID>\ » vers un registre arbitraire. Ce registre arbitraire obtiendrait les droits « NT AUTHORITY\SYSTEM » lors de l’exécution de « ccSvcHst.exe ».