Selon SafeBreach Labs, trois logiciels courants sont affectés par des failles liées à des chargements de DLL, permettant aux pirates d’exploiter des droits qu’ils n’auraient pas en temps normal.
Qu’il s’agisse d’Autodesk Desktap App, de Trend Micro Solution Platform ou de Kaspersky Secure Connection (VPN), le danger est initialement le même : un exécutable fonctionnant avec les droits NT AUTHORITY\SYSTEM, donc un très haut niveau de privilèges.
Malheureusement, plusieurs facteurs interviennent ensuite : absence d’une DLL, mécanismes de chargement de DLL pas assez sécurisé et manque de contrôle de la signature électronique. Tous concordent vers la possibilité de faire charger par les exécutables une DLL tierce, dont les fonctions obtiennent alors les mêmes privilèges élevés.
Une fois que la DLL a été chargée, l’attaque devient persistante, la bibliothèque étant appelée à chaque démarrage du logiciel concerné.
Les trois failles (CVE-2019-15628, CVE-2019-15689 et CVE-2019-7365) ont toutes été corrigées par les éditeurs concernés entre le 25 novembre et le 2 décembre. SafeBreach Labs avait laissé 90 jours aux entreprises pour corriger le tir.
Les utilisateurs sont vivement encouragés à mettre à jour ces produits.
Commentaires (6)
#1
Je me pose une question liée à ce sujet mais aussi liée à la sécurité en générale.
Si un programme installé est vulnérable officiellement mais non utilisé par l’utilisateur, est-ce une porte d’entrée pour les pirates? Ou le programme doit être en fonctionnement pour qu’une faille soit exploitable?
J’essaie de me débarrasser de chaque programme inutile de mes ordinateurs ou smartphones pour gagner en place, en performance et en sécurité mais je ne suis pas sûr de quand une attaque est possible.
#2
Le programme doit être exécuté pour être un problème. Comme “tout” en fait. Si tu as PDF conçu pour exploiter une faille Adobe, ne pas ouvrir le PDF ou l’ouvrir dans Firefox n’engendrera pas d’exploitation.
#3
Je n’ai pas lu les détails des failles, mais j’imagine que ça se repose en partie sur un vieil exploit sur l’ordre de chargement des DLLs. Il est de 1ère importance que tout les répertoires de tes applications (et tous ceux de ton PATH) soient verrouillés en écriture, autrement quelqu’un peut justement faire charger à un de tes programmes sa DLL, récupérant les droits d’exec du programme.
#4
Si le virus vient avec une autre application, il peut alors lancer un programme vulnérable déjà installé sur ta machine et s’en servir.
#5
Pour Trend Micro et Kaspersky ça fait un peu tache quand même
" />
#6
Je viens de tomber sur un truc qui pourra t’intéresser :https://support.microsoft.com/en-us/help/2389418/secure-loading-of-libraries-to-…