Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Múltiples vulnerabilidades en productos Kaspersky

Múltiples vulnerabilidades en productos Kaspersky

Por Deja un comentario

Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a atacantes remotos evitar la validación de certificados o a usuarios locales obtener una llave SSL privada.
Se ven afectados los productos:

  • Kaspersky Anti-Virus 2016, 2017
  • Kaspersky Internet Security 2016, 2017
  • Kaspersky Total Security 2016, 2017
  • Kaspersky Small Office Security 4, 5
  • Kaspersky Fraud Prevention for Endpoints 6.0
  • Kaspersky Safe Kids for Windows 1.1
  • Kaspersky Endpoint Security for Mac
Los problemas fueron reportadospor el conocido Tavis Ormandy de Google Project Zero. No es la primera vez que este investigador se centra en productos de seguridad, y más concretamente en Kaspersky. En esta ocasión el problema reside en la característica de inspección de tráfico SSL/TLS que los antivirus Kaspersky usan para detectar potenciales riesgos escondidos dentro de las conexiones cifradas.   
    
Ejemplo del fallo de validación
de certificados por Tavis Omandi

Un usuario local puede obtener una llave privada empleada para gestionar conexiones SSL y construir ataques contra las conexiones SSL iniciadas por el navegador del usuario atacado.

Cuando el usuario atacado confía explícitamente en un certificado SSL no válido para un determinado sitio, es posible que un usuario remoto pueda omitir las advertencias de validación de certificados de los sitios enumerados en los Subject Alternative Names del certificado SSL no válido original.
Por último, un usuario remoto que pueda realizar un ataque de hombre en el medio podría aprovechar un error en la caché del certificado SSL para acceder a conexiones SSL iniciadas por el navegador del usuario de destino para un sitio.
Kaspersky ha publicado actualizaciones para los siguientes productos:
Kaspersky Anti-Virus 2016, 2017
Kaspersky Internet Security 2016, 2017
Kaspersky Total Security 2016, 2017
Kaspersky Small Office Security 4, 5
Kaspersky Fraud Prevention for Endpoints 6.0
Kaspersky Endpoint Security for Mac
La corrección se incluyo a través de la autoactualización el pasado 28 de diciembre. Se recomienda actualizar los productos afectados.
Más información:
Kaspersky: SSL interception differentiates certificates with a 32bit hash
https://bugs.chromium.org/p/project-zero/issues/detail?id=978
Advisory issued on 28th December, 2016
https://support.kaspersky.com/vulnerability.aspx?el=12430#281216
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.