Symantec解决了之前影响14.2 RU2的所有Symantec Endpoint Protection客户端版本的本地权限升级漏洞。
Symantec解决了一个本地权限升级漏洞——CVE-2019-12758。该漏洞会影响14.2 RU2之前的所有 Symantec Endpoint Protection客户端版本。攻击者可利用此漏洞来升级目标设备上的权限并执行恶意操作,包括使用系统权限执行恶意代码。
该问题与SafeBreach Labs的研究人员在McAfee、Trend Micro、Check Point、Bitdefender、AVG和Avast等多家安全厂商的其他防病毒解决方案中发现的一些漏洞相似。
这些漏洞可能使攻击者绕过防病毒解决方案的自我防御机制并传递持久的恶意负载。
与安全解决方案中的其他DLL劫持问题一样,只有具有管理员权限的攻击者才能利用Symantec Endpoint Protection LPE漏洞。
SafeBreak发布的公告中写道:“此漏洞可用于绕过Symantec的自我防御机制,并通过将任意未签名的DLL加载到由Symantec签名并以NT AUTHORITY\SYSTEM运行的进程中来实现防御规避、持久性和权限升级。”
“我们发现了一个Symantec Endpoint Protection的服务(SepMasterService) ,它是作为签名进程并以NT AUTHORITY \ SYSTEM的身份运行的,它正在尝试加载DLL:c:\ Windows \ SysWOW64 \ wbem \ DSPARSE.dll,但它是不存在的。”
在SyMtETEC端点保护专家的案例中发现了一个名为SEPGraseService的服务,它运行为签名进程和NT权限系统,试图从以下补丁加载一个DLL:C:\Windows \SySWOW64 \WBEM\DSPARSE.DLL。
研究人员通过从原始dsparse.dll DLL文件中编译出32位代理DLL(未签名)来测试该漏洞,该文件会写入加载该进程的名称,执行该进程的用户名以及DLL文件的名称。然后专家将其植入C:\ Windows \ SysWow64 \ Wbem, 并重新启动计算机:
“我们能够加载任意代理DLL(它又加载了另一个任意DLL),并在一个由Symantec Corporation签名为NT AUTHORITY \ SYSTEM的服务进程中执行我们的代码,从而绕过了程序的自我防御机制。”
此漏洞有两个根本原因:
- 没有针对二进制文件进行数字签名验证。该程序不会验证正在加载的DLL是否已签名(例如,使用 WinVerifyTrust 函数)。因此,它可以加载任意未签名的DLL。
- fastprox.dll库正在尝试从其当前工作目录(CWD)导入dsparse.dll,该目录为C:\ Windows\SysWow64\Wbem,而该文件实际上位于SysWow64文件夹中。
Symantec于2019年10月22日发布了Symantec Endpoint Protection 14.2 RU2,以解决该漏洞。
“该漏洞使攻击者能够在每次加载服务时以持久的方式加载和执行恶意有效负载。这意味着一旦攻击者删除恶意DLL,服务将在每次重新启动时加载恶意代码。” SafeBreach总结道。
