Les antivirus sont supposés protéger les utilisateurs de programmes malveillants. Il se trouve cependant que des vulnérabilités critiques sont régulièrement découvertes au sein de ces derniers. Cette semaine, le CERT-XMCO vous propose de revenir sur différentes publications affectant les produits Kaspersky.
| Titre | Compromission d’un système et élévation de privilèges via 8 vulnérabilités au sein de Kaspersky Antivirus |
| Titre officiel | Kaspersky Antivirus « Yoda’s Protector » unpacking remote memory corruption |
| Criticité |  Elevée |
| Date | 24 Septembre 2015 |
| Plateformes | Windows Mac OS X Linux |
| Programme | Kaspersky Antivirus |
| Exploitation | Distante |
| Dommage | Vol d’informations Elévation de privilèges Accès au système Déni de service |
| Description | Huit vulnérabilités ont été corrigées au sein de l’antivirus Kaspersky. Leur exploitation permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, d’élever ses privilèges ainsi que de compromettre un système à distance.
Les failles de sécurité étaient dues à des erreurs en mémoire via l’unpacker « Yoda’s Protector », la fonction d’unpack d’UPX, Kaspersky ThinApp, la fonction de décodage des fichiers DEX ainsi que la fonction de décodage des fichiers CHM permettant d’exécuter du code arbitraire avec les droits « SYSTEM » sur tous les systèmes disposant de Kaspersky Antivirus. Les autres vulnérabilités étaient dues à des erreurs en mémoire provenant de l’unpacker des fichiers PE (exécutables), de la fonction de décodage des exécutables VB6 ainsi que de l’exécutable ExeCryptor provoquant un crash de l’application, permettant potentiellement d’accéder à des informations sensibles en mémoire. |
| Vulnérable | * Kaspersky Antivirus |
| Référence | https://code.google.com/p/google-security-research/issues/detail?id=528 https://code.google.com/p/google-security-research/issues/detail?id=527 https://code.google.com/p/google-security-research/issues/detail?id=518 https://code.google.com/p/google-security-research/issues/detail?id=526 https://code.google.com/p/google-security-research/issues/detail?id=519 https://code.google.com/p/google-security-research/issues/detail?id=524 https://code.google.com/p/google-security-research/issues/detail?id=522 https://code.google.com/p/google-security-research/issues/detail?id=525 |
| Correction | Le CERT-XMCO recommande l’installation des correctifs disponibles auprès de Kaspersky. |
| Id XMCO | CXA-2015-3160 |
| Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-3160 |
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article