UNE VULNÉRABILITÉ CRITIQUE CORRIGÉE SUR SOPHOS HITMANPRO

cyber

Des chercheurs de Talos ont découvert deux vulnérabilités, dont une critique dans Sophos HitmanPro, un outil de détection et de suppression des malwares. Un attaquant pourrait l’exploiter pour exécuter du code à distance ou élever ses privilèges. L’attaque est peu complexe à réaliser, ne peut être effectuée qu’en local, ne nécessite ni privilèges ni interaction utilisateur et pourrait également affecter des composants hors du périmètre du logiciel vulnérable. L’impact estimé sur la confidentialité, l’intégrité et la disponibilité est élevé.
La seconde vulnérabilité est de criticité faible et son exploitation pourrait permettre à un attaquant d’avoir accès à des informations auquel il n’a pas droit, dans la mémoire du système. Cette attaque est peu complexe à réaliser, ne peut être effectuée qu’en local et ne nécessite ni privilèges ni interaction utilisateur. L’impact estimé sur la confidentialité est faible, les impacts sur l’intégrité et la disponibilité sont nuls.

Un correctif a été publié le 17 septembre 2018, soit 2 mois après la découverte de la faille par Talos Intelligence. Sophos assure qu’aucune action n’est requise de la part des utilisateurs pour mettre à jour le logiciel.

Détails techniques

Les détails techniques qui suivent sont tirés de l’analyse faite par Talos Intelligence, dont les tests ont été réalisés sur un système Windows.

La vulnérabilité critique porte le numéro CVE-2018-3971. Elle a pour origine un défaut dans le gestionnaire des appels systèmes d’opérations d’entrées sorties. L’attaque peut être effectuée en envoyant des requêtes IRP (I/O request packet) malveillantes au système cible. Ces requêtes IRP sont utilisées dans les systèmes Windows pour permettre aux différents périphériques de communiquer entre eux et avec le noyau. L’une des fonctions chargées de traiter la requête réalise une opération de copie d’un des paramètres transmis par l’attaquant et ne vérifie pas que l’adresse mémoire de copie possède suffisamment d’espace, ce qui pourrait entraîner un dépassement de tampon. Ce dépassement de tampon pourrait être par la suite utilisé pour réaliser une exécution de code avec des droits d’administration.

Risques

  • Élévation de privilèges
  • Exécution de code à distance

Criticité

  • Score CVSS : 9.3

Existence d’un code d’exploitation de la vulnérabilité

  • Une preuve de concept, disponible publiquement, a été publiée par les chercheurs de Talos Intelligence.

Composants & versions vulnérables

  • Sophos HitmanPro.Alert, version 3.7.6.744 et antérieures

CVE

  • CVE-2018-3970
  • CVE-2018-3971

Mise en place de correctif de sécurité

  • Sophos a publié une mise à jour le 17 septembre, aucune action n’est requise de la part des utilisateurs.

Solution de contournement

 

  • Aucune solution de contournement n’est proposée.

https://www.cyberveille-sante.gouv.fr/cyberveille/1060-une-vulnerabilite-critique-corrigee-sur-sophos-hitmanpro-2018-10-30

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Next Post

IBM CORRIGE PLUSIEURS VULNÉRABILITÉS CRITIQUES DANS DIVERS PRODUITS

IBM a publié 35 bulletins de sécurité sur ses produits, entre le 19 et le 26 octobre. Parmi ceux-ci, 18 sont jugées élevées, 16 modérées et 1 faible. Parmi les vulnérabilités corrigées les plus critiques, aucune n’est spécifique aux produits IBM. Celles-ci sont référencées de la manière suivante : CVE-2018-16741 [CVSS 9.8] : Une vulnérabilité dans […]