WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Lỗ hổng trên Kaspersky khiến mã thực thi đã ký rơi vào tay hacker
Một vấn đề bảo mật được tìm thấy trong Kaspersky Secure Connection, thành phần được tích hợp trong một loạt các sản phẩm bảo mật khác của Kaspersky, có thể khiến hacker lấy được mã thực thi đã ký.
Lỗ hổng CVE-2019-15689 cho phép hacker chạy một tệp thực thi chưa được ký dù phiên bản đã ký được đưa ra dưới dạng NT AUTHORITY/SYSTEM, mở ra cơ hội thực hiện các hoạt động độc hại trên thiết bị bị xâm nhập.
SafeBreach giải thích rằng, Kaspersky Secure Connection sử dụng dịch vụ chạy với quyền System, tệp thực thi có chữ ký của “AO Kaspersky Lab.”
Nếu kẻ tấn công tìm được cách thực thi mã trong tiến trình này, chúng có thể vượt qua cơ chế phát hiện của các thiết bị bảo mật.
Dịch vụ này chạy khi khởi động, điều đó có nghĩa rằng kẻ tấn công thậm chí có thể luôn chạy một payload độc hại mỗi khi hệ thống khởi động.
Yêu cầu tài khoản quản trị viên
Một phân tích chuyên sâu cho thấy dịch vụ này của Kaspersky cố gắng tải một loạt các DLL nhưng một vài trong số đó bị thiếu. Thêm vào đó, phần mềm bảo mật không sử dụng xác thực chữ ký, khiến hacker có thể dễ dàng ngụy trang một tệp thực thi không ký dưới vỏ bọc của một tệp thực thi đã ký. Hơn nữa, dịch vụ này của Kaspersky không sử dụng phương thức tải DLL an toàn, có nghĩa rằng nó chỉ sử dụng tên tệp của DLL chứ không phải là đường dẫn.
Lỗ hổng cho phép kẻ tấn công tải và thực thi tải trọng độc hại trong quy trình đã ký của AO Kaspersky Lab. Khả năng này có thể bị kẻ tấn công lợi dụng cho nhiều mục đích thực thi và lẩn trốn khác nhau, ví dụ qua mặt ứng dụng Whitelist. Lỗ hổng còn cho phép kẻ tấn công tải và thực thi tải trọng độc hại mỗi lần dịch vụ được tải.
SafeBreach giải thích rằng, kẻ tấn công cần có đặc quyền quản trị trên mỗi thiết bị mục tiêu.
Lỗi này được báo cáo cho Kaspersky vào tháng 7 năm 2019, và công ty bảo mật đã phát hành CVE-2019-15689 vào ngày 21 tháng 11.
Lỗ hổng CVE-2019-15689 cho phép hacker chạy một tệp thực thi chưa được ký dù phiên bản đã ký được đưa ra dưới dạng NT AUTHORITY/SYSTEM, mở ra cơ hội thực hiện các hoạt động độc hại trên thiết bị bị xâm nhập.
SafeBreach giải thích rằng, Kaspersky Secure Connection sử dụng dịch vụ chạy với quyền System, tệp thực thi có chữ ký của “AO Kaspersky Lab.”
Nếu kẻ tấn công tìm được cách thực thi mã trong tiến trình này, chúng có thể vượt qua cơ chế phát hiện của các thiết bị bảo mật.
Dịch vụ này chạy khi khởi động, điều đó có nghĩa rằng kẻ tấn công thậm chí có thể luôn chạy một payload độc hại mỗi khi hệ thống khởi động.
Yêu cầu tài khoản quản trị viên
Một phân tích chuyên sâu cho thấy dịch vụ này của Kaspersky cố gắng tải một loạt các DLL nhưng một vài trong số đó bị thiếu. Thêm vào đó, phần mềm bảo mật không sử dụng xác thực chữ ký, khiến hacker có thể dễ dàng ngụy trang một tệp thực thi không ký dưới vỏ bọc của một tệp thực thi đã ký. Hơn nữa, dịch vụ này của Kaspersky không sử dụng phương thức tải DLL an toàn, có nghĩa rằng nó chỉ sử dụng tên tệp của DLL chứ không phải là đường dẫn.
Lỗ hổng cho phép kẻ tấn công tải và thực thi tải trọng độc hại trong quy trình đã ký của AO Kaspersky Lab. Khả năng này có thể bị kẻ tấn công lợi dụng cho nhiều mục đích thực thi và lẩn trốn khác nhau, ví dụ qua mặt ứng dụng Whitelist. Lỗ hổng còn cho phép kẻ tấn công tải và thực thi tải trọng độc hại mỗi lần dịch vụ được tải.
SafeBreach giải thích rằng, kẻ tấn công cần có đặc quyền quản trị trên mỗi thiết bị mục tiêu.
Lỗi này được báo cáo cho Kaspersky vào tháng 7 năm 2019, và công ty bảo mật đã phát hành CVE-2019-15689 vào ngày 21 tháng 11.
Theo Softpedia