Falla de escalamiento de privilegios en Check Point Endpoint Security [CVE-2019-8461]


Recientemente Check Point parcheo una vulnerabilidad descubierta en el software Endpoint Security Client para versiones de Windows que permite a los ciberdelincuentes escalar privilegios para ejecutar código malicioso con privilegios de Sistema.

La falla de seguridad de escalamiento de privilegios rastreada como CVE-2019-8461 hace posible que los atacantes ejecuten cargas maliciosas con privilegios de sistema, así como evadir la detección antimalware, mediante un bypass de la lista blanca de aplicaciones, una técnica comúnmente utilizada para evitar la ejecución de usuarios no identificados o aplicaciones potencialmente maliciosas.

Check Point Endpoint Security es un software que viene con múltiples módulos, como la seguridad de datos y redes, prevención avanzada de amenazas y análisis forense, así como soluciones de software VPN de acceso remoto.

El investigador a cargo descubrió que el problema de seguridad podría usarse para lograr la escalada de privilegios y la persistencia al cargar una DLL maliciosa sin firmar en uno de los servicios de Windows utilizados por el software Check Point Endpoint Security. La vulnerabilidad es inducida por la falta de seguridad en la carga de DLL, causada por el uso de una ruta de búsqueda no controlada y por no validar si el DLL que carga está firmado con un certificado digital.

El investigador descubrió que el servicio Check Point Device Auxiliary Framework, uno de los servicios utilizados por el software que se ejecuta con privilegios de Sistema y que cuenta con un ejecutable firmado por Check Point, que finalmente carga un archivo DLL faltante llamado atl110.dll desde varias carpetas que están definidas en la variable de entorno PATH de Windows.

Uno de los directorios analizados por el servicio fue C:/python27, una carpeta que viene con una lista de control de acceso (ACL) que proporciona permisos de escritura a cualquier usuario autenticado, otorgando privilegios al archivo DLL sin firmar después de haberlo cargado como un usuario normal, dando como resultado final que el código fue ejecutado desde un proceso firmado digitalmente por Check Point como NT AUTHORITY \ SYSTEM.

Como mencionamos al inicio, Check Point corrigió esta vulnerabilidad con el lanzamiento de  Endpoint Security Client para Windows en su versión E81.30, el día de ayer, luego del informe de divulgación de vulnerabilidad enviado por quienes llevaron a cabo la investigación.


REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,26,Antivirus,3,Apple,13,Apps,11,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,106,ciberseguridad,72,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,2,Empresas,111,Eventos,5,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,25,Hacking,80,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,21,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,11,Ransomware,7,Recomendaciones,15,Redes,28,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,29,Software,23,Spyware,11,updates,21,Vulnerabilidades,59,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Falla de escalamiento de privilegios en Check Point Endpoint Security [CVE-2019-8461]
Falla de escalamiento de privilegios en Check Point Endpoint Security [CVE-2019-8461]
https://1.bp.blogspot.com/-Y8ieX93tBEg/XWahQXctQaI/AAAAAAAABpc/_F6NvBqXCKwNUDRIomUKOOCTb79V5nXZQCLcBGAs/s640/checkpointcve.jpg
https://1.bp.blogspot.com/-Y8ieX93tBEg/XWahQXctQaI/AAAAAAAABpc/_F6NvBqXCKwNUDRIomUKOOCTb79V5nXZQCLcBGAs/s72-c/checkpointcve.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/08/falla-de-escalamiento-de-privilegios-en.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/08/falla-de-escalamiento-de-privilegios-en.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy