Los investigadores revelan vulnerabilidades de carga de DLL en Autodesk, Pattern Micro, program Kaspersky


Los investigadores prueban los componentes VOIP de Android por primera vez, encuentran ocho vulnerabilidades
Las vulnerabilidades pueden explotarse para hacer llamadas VoIP no autorizadas, falsificar identificaciones de llamadas, negar llamadas de voz e incluso ejecutar código malicioso en los dispositivos de los usuarios.

Los investigadores han revelado un conjunto de vulnerabilidades de seguridad en Autodesk, Development Micro y el application Kaspersky.

El lunes, SafeBreach Labs publicó tres avisos de seguridad que describen los errores, todos los cuales se informaron en privado a los proveedores antes de la divulgación pública.

El primero vulnerabilidad, rastreado como CVE-2019-15628, afecta a Trend Micro Maximum Security versión 16..1221 y posteriores. Uno de los componentes del program, el servicio de la plataforma de soluciones de Craze Micro, coreServiceShell.exe, se ejecuta como NT AUTHORITY System con altos niveles de permiso, y fue este ejecutable el que apuntaron los investigadores.

Una vez que se ejecuta coreServiceShell.exe, se carga una biblioteca, paCoreProductAdaptor.dll. Sin embargo, la falta de una DLL, la falta de carga segura de la DLL y la validación firmada significaron que los atacantes podrían explotar este agujero de seguridad, cargando como resultado DLL no firmadas.

La capacidad de cargar y ejecutar archivos DLL arbitrarios con software package firmado de altos privilegios podría conducir a la omisión de la lista blanca de aplicaciones, la evasión de las protecciones de seguridad cibernética, la persistencia, a medida que el application se ejecuta en el inicio, y la escalada de privilegios potenciales, dicen los investigadores.

«La vulnerabilidad ofrece a los atacantes la capacidad de cargar y ejecutar cargas maliciosas de forma persistente, cada vez que se carga el servicio», dice SafeBreach Labs. «Eso significa que una vez que el atacante deja caer una DLL maliciosa en una ruta vulnerable, el servicio cargará el código malicioso cada vez que se reinicie».

Ver también: Los escritorios del hotel ahora son un semillero para los hackers

El segundo vulnerabilidad revelado al mismo tiempo afecta a Kaspersky Secure Link, un cliente de crimson privada virtual (VPN) implementado con las soluciones de Kaspersky Internet Security para forjar una conexión segura con los servidores del proveedor.

Rastreado como CVE-2019-15689, este mistake solo se puede abusar si un atacante ya ha asegurado los privilegios de administrador en las versiones del computer software por debajo de 4..

Kaspersky Secure Connection también se ejecuta como NT AUTHORITY Method y de la misma manera que el problema de Craze Micro mencionado anteriormente, el servicio Kaspersky Protected Relationship 3.. (KSDE) busca DLL faltantes, abriendo una ruta para el abuso a través de rutas de búsqueda no controladas y sin firma validación.

Potencialmente adecuada como parte de una cadena posterior a la explotación, la vulnerabilidad permite la carga arbitraria de DLL firmada por AO Kaspersky Lab y capaz de ejecutarse con altos niveles de permisos.

TechRepublic: Cómo funcionan los ataques de relleno de credenciales y cómo prevenirlos

El remaining vulnerabilidad, CVE-2019-7365, fue descubierto en la aplicación de escritorio de Autodesk. La aplicación de escritorio, AdAppMgrSvc.exe, está relacionada con el application de Autodesk desde 2017 hasta la actualidad y se ejecuta con NT AUTHORITY Method. La falta de una llamada DLL realizada por una biblioteca adjunta también permitió la carga de DLL arbitrarias. Además, no hay validación de certificado electronic, por lo que se pueden ejecutar archivos DLL sin firmar.

«Después de que un atacante obtiene acceso a una computadora, podría tener privilegios limitados que pueden limitar el acceso a ciertos archivos y datos», dicen los investigadores. «El servicio le proporciona la capacidad de operar como NT AUTHORITY Program, que es el usuario más poderoso de Home windows, por lo que puede acceder a casi todos los archivos y procesos que pertenecen al usuario en la computadora».

Las vulnerabilidades se informaron a Development Micro, Kaspersky y Autodesk en julio, y cada falla de seguridad se confirmó en el mismo mes o en agosto.

Pattern Micro solicitó tiempo más allá de la política recurring de 90 días y, después de resolver el problema, publicó un aviso de seguridad el 25 de noviembre. Kaspersky parchó el error y publicó un aviso de seguridad n 2 de diciembre. Autodesk aún no ha publicado un aviso. Un portavoz de Kaspersky le dijo a ZDNet:

«Kaspersky ha solucionado un problema de seguridad encontrado en Kaspersky Protected Connection que podría permitir a terceros ejecutar código arbitrario localmente. Para explotar este mistake, un atacante necesitaría tener derechos de administrador community y management overall de la computadora».

Este problema de seguridad se solucionó mediante el parche 2020 E, entregado a los usuarios a través de los procedimientos de actualización automática de Kaspersky. Es posible que sea necesario reiniciar para aplicar estas actualizaciones «.

CNET: Facebook creó una aplicación de reconocimiento facial para empleados

ZDNet se ha comunicado con Pattern Micro y Autodesk con consultas adicionales, pero no ha recibido respuesta al momento de la publicación.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia initial