Controlado desde el
19/10/97 por NedStat
|
Obtención ilegal de privilegios en Symantec LiveUpdate
|
|
VSantivirus No. 1291 Año 8, lunes 19 de enero de 2004
Obtención ilegal de privilegios en Symantec LiveUpdate
http://www.vsantivirus.com/vul-liveupdate2.htm
Por Angela Ruiz
angela@videosoft.net.uy
Automatic LiveUpdate es la herramienta de actualización automática de diferentes productos de Symantec (Norton Antivirus, etc.).
Un fallo en este componente, puede hacer que usuarios locales maliciosos, obtengan privilegios no asignados a su nivel predeterminado dentro de un sistema. Solo se puede explotar el agujero a nivel local.
El problema ocurre cuando se ejecuta la característica Automatic LiveUpdate de algunos productos de Symantec desde una tarea programada.
Symantec Automatic LiveUpdate, es ejecutado por el programador de tareas al iniciarse el sistema, y luego en forma periódica, para examinar la disponibilidad de actualizaciones de los productos de Symantec instalados.
Normalmente, está configurado para avisarle al usuario cuando está disponible alguna actualización para su descarga, a través del icono desplegado en la bandeja del sistema (al lado del reloj). El usuario puede elegir entonces abrir una sesión interactiva de LiveUpdate, para descargar e instalar cualquier actualización disponible.
La versión vulnerable es lanzada al iniciarse la sesión de Windows, con los privilegios de sistema local. Durante el periodo de tiempo en que una sesión interactiva se ejecuta luego del inicio de Windows, y solo durante esa sesión, un usuario sin privilegios, puede manipular las facilidades de la interface gráfica y ganar privilegios más altos. Por ejemplo, puede buscar archivos en todo el sistema, asumiendo permisos totales para todos ellos.
También podría agregarse él mismo al grupo administrativo local, para logearse luego con todos los privilegios.
Son afectados los siguientes productos:
Symantec Windows LiveUpdate 1.70.x al 1.90.x
Norton SystemWorks 2001-2004
Norton AntiVirus y Norton AntiVirus Pro 2001-2004
Norton Internet Security y Security Pro 2001-2004
Symantec AntiVirus for Handhelds v3.0
No están afectados los siguientes productos:
Symantec Windows LiveUpdate v2.x
Symantec Java LiveUpdate (ninguna de sus versiones)
Symantec Enterprise products (no soportan Automatic LiveUpdate)
El fallo ha sido solucionado en la versión 2.0 de Windows LiveUpdate, la cuál está disponible para su descarga en el siguiente enlace:
http://www.symantec.com/techsupp/files/lu/lu.html
También se puede actualizar a través del propio LiveUpdate.
Este fallo solo es crítico en entornos de múltiples usuarios con diferentes privilegios. Sistemas domésticos con un solo usuario, no son afectados.
Más información:
SYM04-001, January 12, 2004, Symantec Automatic
LiveUpdate Local User Elevation of Privilege
http://securityresponse.symantec.com/avcenter/security/Content/2004.01.12.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|