Escalada de privilegios en Symantec Encryption Desktop
Descubierta por investigadores de Nettitude Labs, el fallo permite a un atacante obtener acceso de lectura y escritura en el disco duro a nivel de sector.
La vulnerabilidad se encuentra en un driver del kernel 'PGPwded.sys' en Symantec Encryption Desktop y 'eedDiskEncryptionDriver' en Symantec Endpoint Encryption, y permite a un atacante obtener acceso de lectura y escritura en el disco duro objetivo a nivel de sector. Esto podría acarrear la infección del objetivo y la persistencia a bajo nivel 'MBR/VBR'. También permite que el atacante ejecute código con los permisos del usuario sin necesidad de reiniciar.
Lo importante de esta vulnerabilidad es que el atacante podría modifica el MBR (en caso de no estar cifrado) y así poder instalar un ransomware o un 'bootkit', para así ganar el nivel más alto de privilegios. La destrucción de datos también es un escenario posible, independientemente de si el disco duro está cifrado o no.
Los productos afectados son Symantec Encryption Desktop suite en su versión 10.4.1 y anteriores, y Symantec Endpoint Encryption versión v11.1.3.
Existen ciertas limitaciones para la explotación de esta vulnerabilidad:
A día de hoy no hay un parche por parte de Symantec para esta vulnerabilidad, sin embargo los descubridores del fallo están en conversaciones con esta conocida empresa. Como dato a tener en cuenta, esta vulnerabilidad se notificó en julio del presente año.
Desarrollo de la vulnerabilidad
https://labs.nettitude.com/blog/symantec-encryption-desktop-local-privilege-escalation-exploiting-an-arbitrary-hard-disk-read-write-vulnerability-over-ntfs/
La vulnerabilidad se encuentra en un driver del kernel 'PGPwded.sys' en Symantec Encryption Desktop y 'eedDiskEncryptionDriver' en Symantec Endpoint Encryption, y permite a un atacante obtener acceso de lectura y escritura en el disco duro objetivo a nivel de sector. Esto podría acarrear la infección del objetivo y la persistencia a bajo nivel 'MBR/VBR'. También permite que el atacante ejecute código con los permisos del usuario sin necesidad de reiniciar.
Lo importante de esta vulnerabilidad es que el atacante podría modifica el MBR (en caso de no estar cifrado) y así poder instalar un ransomware o un 'bootkit', para así ganar el nivel más alto de privilegios. La destrucción de datos también es un escenario posible, independientemente de si el disco duro está cifrado o no.
Los productos afectados son Symantec Encryption Desktop suite en su versión 10.4.1 y anteriores, y Symantec Endpoint Encryption versión v11.1.3.
Existen ciertas limitaciones para la explotación de esta vulnerabilidad:
- Encryption Desktop: si el disco duro está cifrado al intentar realizar el acceso al disco, simplemente volveremos a leer los datos cifrados, que no tendrán sentido.
- Endpoint Encryption: tiene un fallo similar al del Encryption Desktop, pero además no permite que el atacante establezca un desplazamiento a nivel de disco. Solo se permite si el desplazamiento está en un determinado rango de los primeros dos sectores del disco.
A día de hoy no hay un parche por parte de Symantec para esta vulnerabilidad, sin embargo los descubridores del fallo están en conversaciones con esta conocida empresa. Como dato a tener en cuenta, esta vulnerabilidad se notificó en julio del presente año.
Más información:
Desarrollo de la vulnerabilidad
https://labs.nettitude.com/blog/symantec-encryption-desktop-local-privilege-escalation-exploiting-an-arbitrary-hard-disk-read-write-vulnerability-over-ntfs/
Via: unaaldia.hispasec.com
Escalada de privilegios en Symantec Encryption Desktop
Reviewed by Zion3R
on
13:10
Rating: