Bug de segurança da Kaspersky fornece a hackers execução de código assinado

Bug de segurança da Kaspersky fornece aos hackers a execução de código assinadoOs invasores do mal estão com tudo. Já conseguiram causar problemas à McAfee e à Avast, como relatamos, e agora foi descoberto um problema de segurança no Kaspersky Secure Connection. Este é incluído em uma série de outros produtos de segurança da Kaspersky. Assim, a falha permite que um agente mal-intencionado obtenha execução de código assinada, persistência e até evasão de defesa em caso de ataques mais complexos.
Detalhada em CVE-2019-15689, a vulnerabilidade permite que os hackers executem um executável não assinado por meio de uma versão assinada lançada como NT AUTHORITY/SYSTEM, tecnicamente abrindo as portas para atividades maliciosas adicionais no dispositivo comprometido.

Bug de segurança da Kaspersky fornece aos hackers a execução de código assinado

Bug de segurança da Kaspersky fornece aos hackers a execução de código assinado
O SafeBreach explica que o Kaspersky Secure Connection, incluído no Kaspersky Antivirus, Kaspersky Internet Security, Kaspersky Total Security e outros, usa um serviço que é executado com permissões de SYSTEM, com o executável assinado pelo “AO Kaspersly Lab”.
Se o invasor encontrar uma maneira de executar o código nesse processo, ele poderá ser usado como um desvio da lista de permissões de aplicativos, o que pode levar à evasão do produto de segurança, explica o SafeBreach.
E como o serviço é executado na inicialização, significa que um invasor em potencial pode até persistir para executar uma carga maliciosa toda vez que o sistema é iniciado.

Conta de administrador necessária

A análise aprofundada revela que o serviço da Kaspersky tenta carregar uma série de DLLs, algumas das quais estão ausentes, e devido ao software de segurança não usar a validação de assinatura, foi fácil disfarçar um executável não assinado como válido. Além disso, o serviço Kaspersky não usa carregamento seguro da DLL, o que significa que ele usa apenas o nome do arquivo da DLL e não um caminho absoluto.
A vulnerabilidade oferece aos atacantes a capacidade de carregar e executar cargas maliciosas dentro do contexto do processo assinado pela AO Kaspersky Lab. Essa capacidade pode ser abusada por um invasor para diferentes propósitos, como evasão de execução e defesa, por exemplo: Ignorar a lista de permissões de aplicativos, indica a análise. A vulnerabilidade oferece ao invasor a capacidade de executar cargas maliciosas de maneira persistente, sempre que o serviço é carregado.
O SafeBreach, que também descobriu vulnerabilidades em uma série de outros produtos de segurança, explica que o invasor precisa ter privilégios de administrador no dispositivo de destino.
O bug foi relatado à Kaspersky em julho de 2019 e a empresa de segurança emitiu CVE-2019-15689 em 21 de novembro.
Fonte Softpedia

FONTE: Blog SempreUpdate
Mais uma vez, agradecemos aos autores originais desta publicação.