Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Autodesk, Trend Micro et Kaspersky victimes de failles dans le chargement de DLL

Selon SafeBreach Labs, trois logiciels courants sont affectés par des failles liées à des chargements de DLL, permettant aux pirates d’exploiter des droits qu’ils n’auraient pas en temps normal.

Qu’il s’agisse d’Autodesk Desktap App, de Trend Micro Solution Platform ou de Kaspersky Secure Connection (VPN), le danger est initialement le même : un exécutable fonctionnant avec les droits NT AUTHORITY\SYSTEM, donc un très haut niveau de privilèges.

Malheureusement, plusieurs facteurs interviennent ensuite : absence d’une DLL, mécanismes de chargement de DLL pas assez sécurisé et manque de contrôle de la signature électronique. Tous concordent vers la possibilité de faire charger par les exécutables une DLL tierce, dont les fonctions obtiennent alors les mêmes privilèges élevés.

Une fois que la DLL a été chargée, l’attaque devient persistante, la bibliothèque étant appelée à chaque démarrage du logiciel concerné.

Les trois failles (CVE-2019-15628, CVE-2019-15689 et CVE-2019-7365) ont toutes été corrigées par les éditeurs concernés entre le 25 novembre et le 2 décembre. SafeBreach Labs avait laissé 90 jours aux entreprises pour corriger le tir.

Les utilisateurs sont vivement encouragés à mettre à jour ces produits.

6 commentaires
Avatar de Depy1501 INpactien
Avatar de Depy1501Depy1501- 04/12/19 à 10:55:46

Je me pose une question liée à ce sujet mais aussi liée à la sécurité en générale.

Si un programme installé est vulnérable officiellement mais non utilisé par l'utilisateur, est-ce une porte d'entrée pour les pirates? Ou le programme doit être en fonctionnement pour qu'une faille soit exploitable?

J'essaie de me débarrasser de chaque programme inutile de mes ordinateurs ou smartphones pour gagner en place, en performance et en sécurité mais je ne suis pas sûr de quand une attaque est possible.

Avatar de xlp Abonné
Avatar de xlpxlp- 04/12/19 à 11:53:19

Le programme doit être exécuté pour être un problème. Comme "tout" en fait. Si tu as PDF conçu pour exploiter une faille Adobe, ne pas ouvrir le PDF ou l'ouvrir dans Firefox n'engendrera pas d'exploitation.

Avatar de xlp Abonné
Avatar de xlpxlp- 04/12/19 à 11:56:53

Je n'ai pas lu les détails des failles, mais j'imagine que ça se repose en partie sur un vieil exploit sur l'ordre de chargement des DLLs. Il est de 1ère importance que tout les répertoires de tes applications (et tous ceux de ton PATH) soient verrouillés en écriture, autrement quelqu'un peut justement faire charger à un de tes programmes sa DLL, récupérant les droits d'exec du programme.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 04/12/19 à 14:43:50

Si le virus vient avec une autre application, il peut alors lancer un programme vulnérable déjà installé sur ta machine et s'en servir.

Avatar de Guinnness INpactien
Avatar de GuinnnessGuinnness- 06/12/19 à 16:30:52

Pour Trend Micro et Kaspersky ça fait un peu tache quand même :transpi:

Avatar de xlp Abonné
Avatar de xlpxlp- 06/12/19 à 16:37:33

Je viens de tomber sur un truc qui pourra t'intéresser :https://support.microsoft.com/en-us/help/2389418/secure-loading-of-libraries-to-...

Il n'est plus possible de commenter cette actualité.