Phát hiện lỗ hổng zero-day trên Symantec Endpoind Protection

[WhiteHat News #ID:3333]

Ba lỗ hổng zero-day tồn tại trên sản phẩm Endpoint Protection của Symantec có thể cho phép người dùng đã đăng nhập truy cập ở cấp độ cao hơn vào máy tính.

Theo Offensive Security, cả 3 đều là lỗ hổng leo thang đặc quyền, và được phát hiện trong cuộc kiểm tra an ninh tại một công ty về dịch vụ tài chính.

Offensive Security, hãng bảo mật nổi tiếng với hệ điều hành Kali Linux, đã công bố đoạn video ngắn miêu tả việc khai thác thành công lỗ hổng. Hãng này cũng lên kế hoạch trình bày mã chứng minh lỗ hổng trong phần mềm (proof-of-concept code) trong hội thảo Black Hat tại Las Vegas tháng tới.

Các lỗi này đã được thông báo tới bộ phận ứng cứu máy tính. Hiện, phía Symantec đã biết về sự việc và đang tiến hành điều tra.

Các lỗ hổng cho phép truy cập sâu vào máy tính mà người dùng đã đăng nhập. Từ đó, có thể truy cập cấp độ cao vào trong hệ thống, tạo “tiền đề” cho các cuộc tấn công như trích xuất dữ liệu hash, lấy cắp thông tin bộ nhớ cache của các quản trị domain.

Offensive Security không nhắm mục tiêu cụ thể tới Endpoint Security trong quá trình đánh giá an ninh tại công ty tài chính nói trên. Tuy nhiên, hãng nhận ra nếu sản phẩm của Symantec thực sự có lỗ hổng, hậu quả gây ra sẽ là thảm họa bởi Endpoint Protection được sử dụng trên hàng trăm, thậm chí là hàng nghìn máy tính tại đây.

Nguồn: PCWorld ​

 

Re: Phát hiện lỗ hổng zero-day trên Symantec Endpoind Protection

Cập nhật ngày 02/08

Symantec đưa ra khuyến cáo nhằm giảm nhẹ rủi ro từ lỗ hổng zero-day
​

Sau khi Offensive Security thông báo về lỗ hổng zero-day trên Symantec Endpoint Protection (SEP), hãng Symantec đã đưa ra khuyến cáo giúp người dùng tránh nguy cơ máy tính bị xâm nhập.

Theo Symantec, các lỗ hổng ảnh hưởng đến thành phần Quản lý Ứng dụng và Thiết bị (Application and Device Control) của sản phẩm. Nhà phát triển cho biết hãng vẫn chưa nhận được báo cáo nào về việc máy tính bị xâm nhập.

Symantec đánh giá các lỗ hổng ở mức độ nguy hiểm trung bình và không thể bị khai thác từ xa.

Tất cả các phiên bản SEP 11.x and 12.x chạy Application and Device Control đều tồn tại lỗ hổng.

Hiện tại vẫn chưa có bản vá cho các lỗ hổng này, tuy nhiên Symantec đã đưa ra giải pháp giúp giảm nhẹ nguy cơ rủi ro cho khách hàng.

Trong trường hợp phiên bản 12.x, một trong những cách để tránh bị tấn công là vô hiệu hóa Application and Device Control; một cách khác là gỡ bỏ hoàn toàn thành phần có lỗi này.

Trên các hệ thống cài phiên bản SEP 11.x, giải pháp duy nhất được nhà phát triển đưa ra là thu hồi chính sách Application and Device Control; đồng thời, cần khởi động lại máy để những thay đổi trên có tác dụng.

Các lỗ hổng này bản chất có thể không nguy hiểm, nhưng trên thực tế nó lại tồn tại trong phần mềm được thiết kế để bảo vệ hệ thống máy tính, đó là điều khá đáng lo ngại.

Nguồn: SoftPedia​