Salut à tous, aujourd’hui je vous redirige vers une lecture intéressante sur la dernière grosse CVE du client Symantec, poétiquement nommée CVE-2019-12757.
Je vous la fait courte c’est un bon gros « local to root » basé sur une mauvaise affectation des droits sur dans une clé de registre utilisé par SEP pour lancer un programme. Au final un utilisateur peut modifier cette clé et faire exécuter en SYSTEM un programme arbitraire par SEP.
Et du coup, c’est specterops qui à découvert et documenté la vuln et c’est par ici que ça se passe pour le détail :
Et le code de l’exploit est lui ici :
https://gist.github.com/enigma0x3/5dbb9a72b592992b27dd703edb4c20b1
Pour ceux qui auront été voir, C’est pas bien compliqué a exploiter (mais beaucoup plus à trouver). Du coup, je vous incite vivement à mettre à jour les clients SEP (de vos parcs d’entreprises ?) si nécessaire. Et si vous n’avez pas peur des méchants pirates, craignez au moins vos utilisateurs qui vont y trouver enfin un moyen facile de passer admins local sur leur poste « sécurisé ».
Voilà, j’ai pas grand chose de plus à vous dire sur la CVE-2019-12757. Aller voir les deux liens c’est de la bonne (lecture). Et ça m’évite vous écrire un billet complet cette semaine…^^
@+