Autodesk, Trend Micro et Kaspersky victimes de failles dans le chargement de DLL
Le 04 décembre 2019 à 10h21
2 min
Logiciel
Logiciel
Selon SafeBreach Labs, trois logiciels courants sont affectés par des failles liées à des chargements de DLL, permettant aux pirates d’exploiter des droits qu’ils n’auraient pas en temps normal.
Qu’il s’agisse d’Autodesk Desktap App, de Trend Micro Solution Platform ou de Kaspersky Secure Connection (VPN), le danger est initialement le même : un exécutable fonctionnant avec les droits NT AUTHORITY\SYSTEM, donc un très haut niveau de privilèges.
Malheureusement, plusieurs facteurs interviennent ensuite : absence d’une DLL, mécanismes de chargement de DLL pas assez sécurisé et manque de contrôle de la signature électronique. Tous concordent vers la possibilité de faire charger par les exécutables une DLL tierce, dont les fonctions obtiennent alors les mêmes privilèges élevés.
Une fois que la DLL a été chargée, l’attaque devient persistante, la bibliothèque étant appelée à chaque démarrage du logiciel concerné.
Les trois failles (CVE-2019-15628, CVE-2019-15689 et CVE-2019-7365) ont toutes été corrigées par les éditeurs concernés entre le 25 novembre et le 2 décembre. SafeBreach Labs avait laissé 90 jours aux entreprises pour corriger le tir.
Les utilisateurs sont vivement encouragés à mettre à jour ces produits.
Le 04 décembre 2019 à 10h21
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/12/2019 à 10h55
Je me pose une question liée à ce sujet mais aussi liée à la sécurité en générale.
Si un programme installé est vulnérable officiellement mais non utilisé par l’utilisateur, est-ce une porte d’entrée pour les pirates? Ou le programme doit être en fonctionnement pour qu’une faille soit exploitable?
J’essaie de me débarrasser de chaque programme inutile de mes ordinateurs ou smartphones pour gagner en place, en performance et en sécurité mais je ne suis pas sûr de quand une attaque est possible.
Le 04/12/2019 à 11h53
Le programme doit être exécuté pour être un problème. Comme “tout” en fait. Si tu as PDF conçu pour exploiter une faille Adobe, ne pas ouvrir le PDF ou l’ouvrir dans Firefox n’engendrera pas d’exploitation.
Le 04/12/2019 à 11h56
Je n’ai pas lu les détails des failles, mais j’imagine que ça se repose en partie sur un vieil exploit sur l’ordre de chargement des DLLs. Il est de 1ère importance que tout les répertoires de tes applications (et tous ceux de ton PATH) soient verrouillés en écriture, autrement quelqu’un peut justement faire charger à un de tes programmes sa DLL, récupérant les droits d’exec du programme.
Le 04/12/2019 à 14h43
Si le virus vient avec une autre application, il peut alors lancer un programme vulnérable déjà installé sur ta machine et s’en servir.
Le 06/12/2019 à 16h30
Pour Trend Micro et Kaspersky ça fait un peu tache quand même " />
Le 06/12/2019 à 16h37
Je viens de tomber sur un truc qui pourra t’intéresser : Microsoft