• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Escalada de privilegios en Symantec Encryption Desktop
    04/12/2017
    =============================================
    CVE-
    Fecha de lanzamiento: 03/12/2017
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Descubierta por investigadores de Nettitude Labs, el fallo permite a un atacante obtener acceso de lectura y escritura en el disco duro a nivel de sector.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Symantec Corporation es una corporación multinacional estadounidense que desarrolla y comercializa software para computadoras, particularmente en el dominio de la seguridad informática. La empresa es conocida por los problemas de seguridad que presentan sus sistemas antivirus.3

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    La vulnerabilidad se encuentra en un driver del kernel 'PGPwded.sys' en Symantec Encryption Desktop y 'eedDiskEncryptionDriver' en Symantec Endpoint Encryption, y permite a un atacante obtener acceso de lectura y escritura en el disco duro objetivo a nivel de sector. Esto podría acarrear la infección del objetivo y la persistencia a bajo nivel 'MBR/VBR'. También permite que el atacante ejecute código con los permisos del usuario sin necesidad de reiniciar.

    Lo importante de esta vulnerabilidad es que el atacante podría modifica el MBR (en caso de no estar cifrado) y así poder instalar un ransomware o un 'bootkit', para así ganar el nivel más alto de privilegios. La destrucción de datos también es un escenario posible, independientemente de si el disco duro está cifrado o no.

    Existen ciertas limitaciones para la explotación de esta vulnerabilidad:
    - Encryption Desktop: si el disco duro está cifrado al intentar realizar el acceso al disco, simplemente volveremos a leer los datos cifrados, que no tendrán sentido.
    - Endpoint Encryption: tiene un fallo similar al del Encryption Desktop, pero además no permite que el atacante establezca un desplazamiento a nivel de disco. Solo se permite si el desplazamiento está en un determinado rango de los primeros dos sectores del disco.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Los productos afectados son Symantec Encryption Desktop suite en su versión 10.4.1 y anteriores, y Symantec Endpoint Encryption versión v11.1.3.

    SOLUCIÓN
    --------------------------------------------------------------------------------

    A día de hoy no hay un parche por parte de Symantec para esta vulnerabilidad, sin embargo los descubridores del fallo están en conversaciones con esta conocida empresa. Como dato a tener en cuenta, esta vulnerabilidad se notificó en julio del presente año.

    FUENTE
    --------------------------------------------------------------------------------

    https://hispasec.com/