Os invasores do mal estão com tudo. Já conseguiram causar problemas à McAfee e à Avast, como relatamos, e agora foi descoberto um problema de segurança no Kaspersky Secure Connection. Este é incluído em uma série de outros produtos de segurança da Kaspersky. Assim, a falha permite que um agente mal-intencionado obtenha execução de código assinada, persistência e até evasão de defesa em caso de ataques mais complexos.
Detalhada em CVE-2019-15689, a vulnerabilidade permite que os hackers executem um executável não assinado por meio de uma versão assinada lançada como NT AUTHORITY/SYSTEM, tecnicamente abrindo as portas para atividades maliciosas adicionais no dispositivo comprometido.
Bug de segurança da Kaspersky fornece aos hackers a execução de código assinado
O SafeBreach explica que o Kaspersky Secure Connection, incluído no Kaspersky Antivirus, Kaspersky Internet Security, Kaspersky Total Security e outros, usa um serviço que é executado com permissões de SYSTEM, com o executável assinado pelo “AO Kaspersly Lab”.
Se o invasor encontrar uma maneira de executar o código nesse processo, ele poderá ser usado como um desvio da lista de permissões de aplicativos, o que pode levar à evasão do produto de segurança, explica o SafeBreach.
E como o serviço é executado na inicialização, significa que um invasor em potencial pode até persistir para executar uma carga maliciosa toda vez que o sistema é iniciado.
Conta de administrador necessária
A análise aprofundada revela que o serviço da Kaspersky tenta carregar uma série de DLLs, algumas das quais estão ausentes, e devido ao software de segurança não usar a validação de assinatura, foi fácil disfarçar um executável não assinado como válido. Além disso, o serviço Kaspersky não usa carregamento seguro da DLL, o que significa que ele usa apenas o nome do arquivo da DLL e não um caminho absoluto.
A vulnerabilidade oferece aos atacantes a capacidade de carregar e executar cargas maliciosas dentro do contexto do processo assinado pela AO Kaspersky Lab. Essa capacidade pode ser abusada por um invasor para diferentes propósitos, como evasão de execução e defesa, por exemplo: Ignorar a lista de permissões de aplicativos, indica a análise. A vulnerabilidade oferece ao invasor a capacidade de executar cargas maliciosas de maneira persistente, sempre que o serviço é carregado.
O SafeBreach, que também descobriu vulnerabilidades em uma série de outros produtos de segurança, explica que o invasor precisa ter privilégios de administrador no dispositivo de destino.
O bug foi relatado à Kaspersky em julho de 2019 e a empresa de segurança emitiu CVE-2019-15689 em 21 de novembro.
A Kaspersky se pronunciou sobre o assunto. Veja o posicionamento da empresa:
A Kaspersky corrigiu um problema de segurança encontrado no Kaspersky Secure Connection que poderia permitir a terceiros executar localmente um código arbitrário. Para explorar esse bug, um invasor precisa ter direitos de administrador local e controle total do computador.
Esse problema de segurança foi corrigido pelo patch 2020 E, disponibilizado aos usuários por meio dos procedimentos de atualização automática da Kaspersky. Uma reinicialização pode ser necessária para que as atualizações comecem a funcionar.
A empresa agradece a Peleg Hadar, da SafeBreach, que descobriu essa falha de segurança e a relatou de maneira responsável à Kaspersky”.
Fonte Softpedia
*matéria atualizada com o posicionamento oficial da empresa.
