В защитном ПО Check Point исправлена уязвимость повышения привилегий

1

Эксплуатация позволяла злоумышленникам повысить привилегии и выполнить код с правами SYSTEM.

Компания Check Point Software исправила уязвимость в защитном решении Endpoint Security Initial Client для Windows. Ее эксплуатация позволяла злоумышленникам повысить привилегии и выполнить код с правами SYSTEM.

Уязвимость повышения привилегий (CVE-2019-8790) позволяет злоумышленникам запускать вредоносное ПО с правами системного уровня, а также обходить «белый список приложений» (метод, используемый для предотвращения выполнения любого неизвестного или потенциально вредоносного приложения).

Уязвимость вызвана отсутствием механизма безопасной загрузки DLL-библиотек (система не проверяет, подписана ли загружаемая DLL-библиотека цифровым сертификатом).

Эксплуатация может быть осуществлена путем загрузки произвольной неподписанной DLL-библиотеки в одну из служб Windows, используемых программным обеспечением Check Point Endpoint Security.

Как выяснил исследователь Пелег Хадар (Peleg Hadar), при запуске службы Check Point Device Auxiliary Framework подписанный процесс IDAFServerHostService.exe выполняется как NT AUTHORITYSYSTEM (наиболее привилегированный пользовательский аккаунт). После запуска сервис пытается загрузить отсутствующую DLL-библиотеку с именем atl110.dll из различных папок в пределах окружения Windows PATH. В числе прочих служба проверяет папку C:/python27 со списком контроля доступа, предоставляющим любому авторизованному пользователю права на запись. Таким образом исследователь, обладая обычными правами, смог загрузить отсутствующую DLL-библиотеку и выполнить код с правами NT AUTHORITYSYSTEM.

Check Point исправила эту уязвимость с выпуском версии Endpoint Security Initial Client E81.30 для Windows.