0
1
Des chercheurs de Talos ont découvert deux vulnérabilités, dont une critique dans Sophos HitmanPro, un outil de détection et de suppression des malwares. Un attaquant pourrait l’exploiter pour exécuter du code à distance ou élever ses privilèges. L’attaque est peu complexe à réaliser, ne peut être effectuée qu’en local, ne nécessite ni privilèges ni interaction utilisateur et pourrait également affecter des composants hors du périmètre du logiciel vulnérable. L’impact estimé sur la confidentialité, l’intégrité et la disponibilité est élevé.
La seconde vulnérabilité est de criticité faible et son exploitation pourrait permettre à un attaquant d’avoir accès à des informations auquel il n’a pas droit, dans la mémoire du système. Cette attaque est peu complexe à réaliser, ne peut être effectuée qu’en local et ne nécessite ni privilèges ni interaction utilisateur. L’impact estimé sur la confidentialité est faible, les impacts sur l’intégrité et la disponibilité sont nuls.
Un correctif a été publié le 17 septembre 2018, soit 2 mois après la découverte de la faille par Talos Intelligence. Sophos assure qu’aucune action n’est requise de la part des utilisateurs pour mettre à jour le logiciel.
Détails techniques
Les détails techniques qui suivent sont tirés de l’analyse faite par Talos Intelligence, dont les tests ont été réalisés sur un système Windows.
La vulnérabilité critique porte le numéro CVE-2018-3971. Elle a pour origine un défaut dans le gestionnaire des appels systèmes d’opérations d’entrées sorties. L’attaque peut être effectuée en envoyant des requêtes IRP (I/O request packet) malveillantes au système cible. Ces requêtes IRP sont utilisées dans les systèmes Windows pour permettre aux différents périphériques de communiquer entre eux et avec le noyau. L’une des fonctions chargées de traiter la requête réalise une opération de copie d’un des paramètres transmis par l’attaquant et ne vérifie pas que l’adresse mémoire de copie possède suffisamment d’espace, ce qui pourrait entraîner un dépassement de tampon. Ce dépassement de tampon pourrait être par la suite utilisé pour réaliser une exécution de code avec des droits d’administration.
Risques
- Élévation de privilèges
- Exécution de code à distance
Criticité
- Score CVSS : 9.3
Existence d’un code d’exploitation de la vulnérabilité
- Une preuve de concept, disponible publiquement, a été publiée par les chercheurs de Talos Intelligence.
Composants & versions vulnérables
- Sophos HitmanPro.Alert, version 3.7.6.744 et antérieures
CVE
- CVE-2018-3970
- CVE-2018-3971
Mise en place de correctif de sécurité
- Sophos a publié une mise à jour le 17 septembre, aucune action n’est requise de la part des utilisateurs.
Solution de contournement
- Aucune solution de contournement n’est proposée.
