خبر آسیب پذیری روز-صفرم Symantec Endpoint Protection به وسیله گروه امنیتی offensive security از PCworld

سلام

PCWorld news: Offensive-Security video about Symantec Endpoint Protection 0day

روز سه شنبه ۲۹ جولای ۲۰۱۴ یعنی ۷ مرداد ۱۳۹۳ سه رخنه ی روز-صفرم از SEP منتشر شد که به واسطه ی آن، کاربری که لاگین کرده، می تواند سطح دسترسی خود در کامپیوتر را افزایش دهد.

sep vul

Symantec Endpoint Protection چیست؟

SEP نام یک مجموعه کامل امنیتی می باشد که توسط کمپانی بزرگ Symantec تولید شده است که از محصولات معروف این کمپانی در گذشته می توان به نرم افزار ضد ویروس Norton و بسته امنیتی Norton 360 اشاره نمود. این مجموعه امنیتی از ابزارهای مختلفی برای برقراری امنیت و حفظ ثبات در سیستم تشکیل شده است. ابزارهایی نظیر برنامه ضد ویروس، نابود کننده برنامه های جاسوسی، ابزار برقراری امنیت و حفاظت از شبکه و ... . این نرم افزار قدرتمند با جمع آوری تمام ابزارهای مورد نیاز برای حفاظت از سیستم به کاربران توانایی برقرار نمودن امنیت مناسب را می دهد.

 و اما آسیب پذیری:

این سه رخنه با نام آسیب پذیری افزایش دسترسی یا Privilege Escalation Vulnerability شناخته می شوند. Mati Aharoni رئیس بخش آموزش و توسعه ی گروه امنیتی Offensive Security عنوان می کند که این آسیب پذیری ها را در حین تست امنیتی که روی سرویس دهنده های اعتباری انجام می دادند، پیدا کردند.

گروه Offensive Security به خاطر Kali Linux که در تست نفوذپذیری مورد استفاده قرار می گیرد،‌ مشهور شده اند. آن ها روز سه شنبه ویدئوی کوتاهی در این لینک منتشر کردند که نشان دهنده ی یک اکسپلوییت موفق آمیز بود. لینک اکسپلوییت: www.exploit-db.com/exploits/34272

این رخنه به کاربری که لاگین کرده اجازه می دهد تا دسترسی اش به کامپیوتر را افزایش دهد. از این راه می توان کامپیوتر را برای سایر حمله ها آماده کنیم. برای مثال می توانیم هش ها را استخراج (dump) کرده یا رمز عبور مدیر دامین (domain administrator) که کش شده را به دست آوریم.

گروه امنیتی offensive security در تست نفوذپذیری اش به صورت مشخص به SEP نپرداخته بود اما اگر می توانست رخنه ای پیدا کند، نتیجه ی آن فاجعه بار می شود. SEP روی صدها و حتی شاید هزارها کامپیوتر از شرکت های سرویس دهنده ی خدمات اعتباری در حال اجراست. با استناد به این مشکلی که توسط این گروه کشف شد، Aharoni گفت :«فکر نمی کنم که نرم افزارهای امنیتی هیچ تفاوتی با سایر نرم افزارها داشته باشند و توسعه دهنده های نرم افزارهای امنیتی از موهبت خاصی در زمینه ی امنیت بهره مند نیستند.»

پاسخ گروه امنیتی شرکت سیمنتک در این لینک.

اکسپلوییت این آسیب پذیری از راه دور (remotely) امکان پذیر نبوده و تنها روی کلاینت هایی که برنامه ها و دستگاه های کنترلی را با SEP اجرا کرده اند، ممکن است. در صورتی که به طور مستقیم به کامپیوتر قربانی دسترسی داشته باشیم، به وسیله این اکسپلوییت می توانیم باعث فروپاشی (crash) سیستم، تکذیب سرویس (DOS) و حتی افزایش دسترسی به سطح admin شویم.

این آسیب پذیری تمام کلاینت های SEP نسخه ی 11 و 12 و مشتقات آن را تحت تاثیر قرار می دهد. (البته قبل از وصله یا همان patch)

برنامه های SEP Manager, SEP SBE, SEP.cloud, Symantec Network Access Control تحت تاثیر این آسیب پذیری نخواهند بود.

لینک های خبر:

تاریخ ساخت: July 29, 2014 یا ۷ مرداد ۱۳۹۳
تاریخ تحقیق: Aug 10, 2014 یا ۱۹ مرداد ۱۳۹۳