[PATCH][KASPERSKY] Compromission d’un système et élévation de privilèges via 8 vulnérabilités au sein de Kaspersky Antivirus

[PATCH][KASPERSKY] Compromission d’un système et élévation de privilèges via 8 vulnérabilités au sein de Kaspersky Antivirus

Les antivirus sont supposés protéger les utilisateurs de programmes malveillants. Il se trouve cependant que des vulnérabilités critiques sont régulièrement découvertes au sein de ces derniers. Cette semaine, le CERT-XMCO vous propose de revenir sur différentes publications affectant les produits Kaspersky.

Bulletin CXA-2015-3160
Titre Compromission d’un système et élévation de privilèges via 8 vulnérabilités au sein de Kaspersky Antivirus
Titre officiel Kaspersky Antivirus « Yoda’s Protector » unpacking remote memory corruption
Criticité Criticite Elevée
Date 24 Septembre 2015
Plateformes Windows
Mac OS X
Linux
Programme Kaspersky Antivirus
Exploitation Distante
Dommage Vol d’informations
Elévation de privilèges
Accès au système
Déni de service
Description Huit vulnérabilités ont été corrigées au sein de l’antivirus Kaspersky. Leur exploitation permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, d’élever ses privilèges ainsi que de compromettre un système à distance.

Les failles de sécurité étaient dues à des erreurs en mémoire via l’unpacker « Yoda’s Protector », la fonction d’unpack d’UPX, Kaspersky ThinApp, la fonction de décodage des fichiers DEX ainsi que la fonction de décodage des fichiers CHM permettant d’exécuter du code arbitraire avec les droits « SYSTEM » sur tous les systèmes disposant de Kaspersky Antivirus.

Les autres vulnérabilités étaient dues à des erreurs en mémoire provenant de l’unpacker des fichiers PE (exécutables), de la fonction de décodage des exécutables VB6 ainsi que de l’exécutable ExeCryptor provoquant un crash de l’application, permettant potentiellement d’accéder à des informations sensibles en mémoire.

Vulnérable * Kaspersky Antivirus
Référence https://code.google.com/p/google-security-research/issues/detail?id=528
https://code.google.com/p/google-security-research/issues/detail?id=527
https://code.google.com/p/google-security-research/issues/detail?id=518
https://code.google.com/p/google-security-research/issues/detail?id=526
https://code.google.com/p/google-security-research/issues/detail?id=519
https://code.google.com/p/google-security-research/issues/detail?id=524
https://code.google.com/p/google-security-research/issues/detail?id=522
https://code.google.com/p/google-security-research/issues/detail?id=525
Correction Le CERT-XMCO recommande l’installation des correctifs disponibles auprès de Kaspersky.
Id XMCO CXA-2015-3160
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-3160

Cert-XMCO