martes, 30 de agosto de 2016

Vulnerabilidades en Kaspersky Internet Security Suite

El equipo de seguridad de Cisco Talos ha anunciado cuatro vulnerabilidades en Internet Security Suite de Kaspersky que podrían permitir a un atacante provocar denegaciones de servicio o fugas de memoria.

Los dos primeros problemas residen en la forma en que el driver KLIF intercepta las llamadas NtUserCreateWindowEx y NtAdjustTokenPrivileges a la Windows API. En ambos casos una aplicación maliciosa podrá efectuar llamadas maliciosas a la API con parámetros incorrectos. Lo que podría provocar que el controlador intente acceder a memoria no accesible lo que causaría una caída del sistema. Se han asignado los identificadores CVE-2016-4304 y CVE-2016-4305.

Otra denegación de servicio, con CVE-2016-4307, reside en el controlador KL1 de Kaspersky. Un usuario malicioso puede enviar una llamada IOCTL especialmente creada a driver KL1, que en determinadas condiciones esto provoca una lectura de memoria fuera de la asignación del búfer. Esto provoca una violación de acceso a memoria y la consiguiente caída del sistema.

Por último, con CVE-2016-4306, una llamada IOCTL específicamente creada se puede utilizar para filtrar el contenido de la memoria del kernel al entorno de usuario a través de una implementación débil del servicio KlDiskCtl del controlador kldisk.sys.

Un atacante podría aprovechar esto para obtener información de seguridad relevante y combinar este conocimiento con otras vulnerabilidades para explotar el sistema local. Por ejemplo, para evitar la funcionalidad de seguridad ASLR ("Address Space Layout Randomization").

Las vulnerabilidades afectan a las versiones 2016 de Kaspersky Internet Security, Kaspersky Anti-Virus y Kaspersky Total Security (16.0.0.614), versión del driver KLIF 10.0.0.1532. Se han corregido en las versiones Kaspersky Internet Security 2017, Kaspersky Anti-Virus 2017 y Kaspersky Total Security 2017 (17.0.0.611). Los usuarios deben actualizar a las nuevas versiones de los respectivos productos a través del procedimiento de actualización de cada producto.

Más información:

Vulnerability Spotlight: Kernel Information Leak & Multiple DOS Issues Within Kaspersky Internet Security Suite

Advisory issued on 25th August, 2016

TALOS-2016-0166 / CVE-2016-4304
Kaspersky Internet Security KLIF Driver NtUserCreateWindowEx_HANDLER Denial of Service

TALOS-2016-0167 / CVE-2016-4305
Kaspersky Internet Security KLIF Driver NtAdjustTokenPrivileges_HANDLER Denial of Service

TALOS-2016-0168 / CVE-2016-4306
Kaspersky Internet Security KLDISK Driver Multiple Kernel Memory Disclosure Vulnerabilities

TALOS-2016-0169 / CVE-2016-4307
Kaspersky Internet Security KL1 Driver Signal Handler Denial of Service



Antonio Ropero
Twitter: @aropero


lunes, 29 de agosto de 2016

Actualización para productos VMware

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware Identity Manager y vRealize Automation, que podrían permitir a un usuario local elevar sus privilegios y la ejecución de código arbitrario.

VMware Identity Manager es una solución IDaaS, o Identity as a Service, que ofrece un sistema de control de acceso que permite a los administradores establecer políticas sobre dispositivos y de gestión de información especialmente en entornos cloud. VMware vRealize Automation automatiza el despliegue y gestión de servicios, aplicaciones e infraestructuras en entornos de cloud

El primer problema, con CVE-2016-5335, reside en una vulnerabilidad de elevación de privilegios en VMware Identity Manager y vRealize Automation. Un atacante local con permisos reducidos podría conseguir permisos de root. Por otra parte, con CVE-2016-5336, una vulnerabilidad de ejecución remota de código en vRealize Automation.

Se ven afectadas las versiones VMware Identity Manager 2.x y vRealize Automation 7.0.x.

VMware ha publicado las siguientes actualizaciones:
VMware Identity Manager 2.7 disponible desde:
vRealize Automation 7.1 disponible desde:

Más información:

VMSA-2016-0013
VMware Identity Manager and vRealize Automation updates address multiple security issues
  


Antonio Ropero
Twitter: @aropero