{"id":224907,"date":"2019-11-16T08:11:20","date_gmt":"2019-11-16T07:11:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224907"},"modified":"2023-10-07T13:57:37","modified_gmt":"2023-10-07T11:57:37","slug":"fix-fr-2-symantec-endpoint-protection-lpe-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/16\/fix-fr-2-symantec-endpoint-protection-lpe-schwachstellen\/","title":{"rendered":"Fix für 2 Symantec Endpoint Protection LPE-Schwachstellen"},"content":{"rendered":"

[English<\/a>]In Symantec Endpoint Protection gab es gleich zwei Local Privilege Escalation-Schwachstellen (LPE), CVE-2019\u201312757 und CVE-2019-12758, die das Unternehmen in der Version 14.2 RU2 geschlossen hat.<\/p>\n

<\/p>\n

\"\"Symantec Endpoint Protection<\/a> ist eineSammlung von Sicherheitsl\u00f6sungen, die Intrusion Prevention, Firewall, Data Loss Prevention und Anti-Malware-Funktionen f\u00fcr Desktop- und Server-Computer umfasst.<\/p>\n

Local Privilege Escalation-Schwachstelle CVE-2019-12758<\/h2>\n

Entdeckt hat die Schwachstelle, die die CVE-Kennung CVE-2019-12758<\/a> erhalten hat,\u00a0 der Sicherheitsforscher Peleg Hadar von SafeBreach Labs. Hadar beschreibt das Ganze in diesem Blog-Beitrag<\/a>.<\/p>\n

Mehrere Komponenten der Software laufen als Windows-Dienst, der als \"NT AUTHORITY\\SYSTEM\" ausgef\u00fchrt wird und entsprechende Berechtigungen besitzt. Bei einer Analyse stie\u00df das Sicherheitsteam einen Dienst (SepMasterService), der zu Symantec Endpoint Protection geh\u00f6rt und als signierter Prozess und als NT AUTHORITY\\SYSTEM l\u00e4uft. Die Sicherheitsforscher haben festgestellt, dass dieser Dienst versucht, die nachfolgend genannte, nicht existierende, DLL zu laden:<\/p>\n

c:\\Windows\\SysWOW64\\wbem\\DSPARSE.dll<\/p>\n

Das ist ein m\u00f6glicher Angriffspunkt, den die Sicherheitsforscher f\u00fcr einen Angriff nutzten. Sie erstellten eine eigene Datei DSPARSE.dll<\/em> und legten diese im Ordner ab. Dazu sind zwar Administrator-Berechtigungen erforderlich. Aber wenn es klappt, die eigene Datei DSPARSE.dll<\/em> aus dem oben genannten Ordner durch den Dienst SepMasterService <\/em>laden zu lassen, w\u00e4re der Angriff gegl\u00fcckt.<\/p>\n

Damit lie\u00dfe sich der Selbstverteidigungsmechanismus der Antivirensoftware umgehen. Das gilt vor allem, weil die Ordner der Symantec Endpoint Protection-Software durch einen Mini-Filter-Dateisystemtreiber gesch\u00fctzt sind, der Schreibvorg\u00e4nge sogar durch einen Administrator einschr\u00e4nkt. Normalerweise sollte daher auch einem Administrator verweigert werden, eine nicht existierende DLL in den oben genannten Ordner zu speichern, um diese in die Prozesse von Symantec zu laden.<\/p>\n

Genau diese Angriffsmethode hatten die Sicherheitsforscher um Hadar bereits erfolgreich bei McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP) und McAfee Internet Security (MIS) genutzt. Ich hatte das k\u00fcrzlich im Beitrag McAfee patcht Schwachstelle in Antivirus-Produkten<\/a> berichtet.<\/p><\/blockquote>\n

Auch bei dieses Angriff schrieben die Sicherheitsforscher eine 32-Bit-Proxy-DLL, die bestimmte Parameter beim Aufruf in einen Textdatei schreibt und das Ganze protokolliert.<\/p>\n

Wie erwartet lie\u00df sich eine beliebige Proxy-DLL laden (die eine weitere beliebige DLL laden konnte) in den oben angegebenen Ordner speichern. Und die Proxy-DLL sowie Folge-DLLs wurden geladen, der Code der DLLs wurde anschlie\u00dfend innerhalb des Prozesses des Symantec-Dienstes als NT AUTHORITY\\SYSTEM ausgef\u00fchrt. Der Schutzmechanismus des Symantec-Programms wurde also umgangen.<\/p>\n

Betroffene Symantec EP-Versionen, Auswirkungen<\/h2>\n

Der Sicherheitsforscher Peleg Hadar beschreibt in diesem Artikel<\/a> im Blog von SafeBreach Labs die Details und geht auf weitere Analysen ein. So werden die potentiellen Auswirkungen der Schwachstelle skizziert. Diese\u00a0 gibt Angreifern die M\u00f6glichkeit, b\u00f6sartige Nutzlasten im Rahmen des von Symantec signierten Prozesses zu laden und auszuf\u00fchren.<\/p>\n

Diese F\u00e4higkeit kann von einem Angreifer f\u00fcr verschiedene Zwecke wie z.B. Whitelisting-Bypass f\u00fcr Anwendungen missbraucht werden. Zudem erm\u00f6glicht die Schwachstelle es Angreifern mit Administratorrechten eine Schadroutine automatisch beim Start von Windows \u00fcber die Symantec-Dienste laden zu lassen. Von der Schwachstelle sind alle Symantec Endpoint Protection-Versionen vor 14.2 RU2 betroffen.<\/p>\n

Symantec hat die Schwachstelle gefixt<\/h2>\n

Sicherheitsforscher Peleg Hadar hat die Schwachstelle am 5. August 2019 an Symantec gemeldet und am 6. August 2019 die Best\u00e4tigung erhalten. Am 31. Oktober wurde eine CVE-Kennung vergeben. Die Schwachstelle CVE-2019-12758 ist in Symantec Endpoint Protection 14.2 Version RU2<\/a> beseitigt. Diese Version wurde am 22. Oktober 2019 freigegeben, wie Bleeping Computer hier schreibt<\/a>. Das letzte Update der Seite erfolgte allerdings am 12. November 2019.<\/p>\n

Bleeping Computer schreibt<\/a> hier, dass Peleg Hadar \u00e4hnliche Schwachstellen nicht nur bei Trend Micro, sondern auch bei Checkpoint Bitdefender Antivirus, Avira Antivirus 2019, Avast Antivirus und weiteren Anbietern aufgedeckt hat.<\/p><\/blockquote>\n

Weitere Schwachstelle CVE-2019-12757<\/h2>\n

Gestern bin ich auf den nachfolgenden Tweet von Matt Nelsen gesto\u00dfen, der eine weitere Local Privilege Escalation-Schwachstelle CVE-2019\u201312757 in Symantec Endpoint Protection aufgedeckt hat.<\/p>\n

\n

[Blog] CVE-2019\u201312757: Local Privilege Escalation in Symantec Endpoint Protection https:\/\/t.co\/NB74Qkid8s<\/a><\/p>\n

\u2014 Matt Nelson (@enigma0x3) November 15, 2019<\/a><\/p><\/blockquote>\n