Selon SafeBreach Labs, trois logiciels courants sont affectés par des failles liées à des chargements de DLL, permettant aux pirates d’exploiter des droits qu’ils n’auraient pas en temps normal.

Qu’il s’agisse d’Autodesk Desktap App, de Trend Micro Solution Platform ou de Kaspersky Secure Connection (VPN), le danger est initialement le même : un exécutable fonctionnant avec les droits NT AUTHORITY\SYSTEM, donc un très haut niveau de privilèges.

Malheureusement, plusieurs facteurs interviennent ensuite : absence d’une DLL, mécanismes de chargement de DLL pas assez sécurisé et manque de contrôle de la signature électronique. Tous concordent vers la possibilité de faire charger par les exécutables une DLL tierce, dont les fonctions obtiennent alors les mêmes privilèges élevés.

Une fois que la DLL a été chargée, l’attaque devient persistante, la bibliothèque étant appelée à chaque démarrage du logiciel concerné.

Les trois failles (CVE-2019-15628, CVE-2019-15689 et CVE-2019-7365) ont toutes été corrigées par les éditeurs concernés entre le 25 novembre et le 2 décembre. SafeBreach Labs avait laissé 90 jours aux entreprises pour corriger le tir.

Les utilisateurs sont vivement encouragés à mettre à jour ces produits.