Rilevate vulnerabilità in Trend Micro, Autodesk e Kaspersky

03/12/2019

Autodesk Desktop Application CVE 2019-15628 CVE 2019-7365 CVE-2019-15689 Kaspersky Secure Connection Trend Micro Maximum Security Vulnerabilità

 

I ricercatori di SafeBreach Labs hanno scoperto tre vulnerabilità che incidono sui software Trend Micro Maximum Security e Autodesk Desktop Application e sul client Kaspersky Secure Connection.

 

Trend Micro Maximum Security

La vulnerabilità, associata al CVE 2019-15628, interessa Trend Micro Security e le precedenti versioni. La vulnerabilità consente un’escalation di privilegi, consentendo a un utente di scrivere un file DLL mancante e ottenere l’esecuzione del codice come NT AUTHORITY \ SYSTEM. I ricercatori sono stati in grado di caricare una DLL arbitraria come utente normale ed eseguire il codice all’interno di più processi che sono firmati da Bitdefender come NT AUTHORITY \ SYSTEM.

 

Autodesk Desktop Application

La vulnerabilità, di cui al CVE 2019-7365, è dovuta al mancato controllo nel caricamento delle DLL e dalla mancata convalida del certificato digitale. La vulnerabilità permette agli aggressori di caricare ed eseguire payload dannosi in modo persistente. Ciò significa che una volta che l’utente malintenzionato rilascia una DLL dannosa in un percorso vulnerabile, il servizio caricherà il codice dannoso ogni volta che viene riavviato. Dopo che un utente malintenzionato ottiene l’accesso a un computer potrebbe operare come NT AUTHORITY \ SYSTEM e accedere a quasi tutti i file e tutti i processi dell’utente sul computer.

I ricercatori, hanno testato la vulnerabilità caricando una DLL arbitraria come utente normale ed eseguendo il codice all’interno di un processo firmato da AutoDesk Inc. come NT AUTHORITY \ SYSTEM.

 

Kaspersky Secure Connection

Quest’ultima, identificata con il CVE 2019-15689, potrebbe consentire a un utente malintenzionato di caricare ed eseguire payload dannosi, ciò significa che ogniqualvolta un utente malintenzionato rilascia una DLL pericolosa il servizio caricherà il codice dannoso ogni volta che viene riavviato.

Nel dettaglio, i ricercatori, utilizzando la vulnerabilità CVE-2019-15689, sono stati in grado di caricare un file DLL arbitrario che è stato firmato da AO Kaspersky Lab ed eseguito come NT AUTHORITY \ SYSTEM. Il codice è stato eseguito all’interno di ksde.exe.

 


 Due sono le cause alla radice di questa vulnerabilità:

  1. Non viene effettuata alcuna convalida della firma rispetto al file DLL che il servizio ha tentato di caricare;
  2. Il percorso di ricerca non viene controllato provocando un caricamento insicuro della DLL. La libreria tenta di caricare i file DLL citati utilizzando la funzione LoadLibraryExW senza flag.

 

Conclusioni

Trend Micro e Kaspersky hanno rilasciato nuovi aggiornamenti per correggere le vulnerabilità. Mentre, ad oggi Autodesk ad oggi non ha rilasciato alcun software correttivo.

Come di consueto, il CERT-PA raccomanda di eseguire, non appena possibile, l’aggiornamento dei prodotti e di seguire i canali ufficiali dei rispettivi vendor verificando la presenza di aggiornamenti di sicurezza.