Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/01/2012
Greu vulnerabilitat en PCAnywhere (corregida cinc mesos després)
S’ha publicat una vulnerabilitat en PCAnywhere que permet executar un codi en el sistema on estiga en funcionament l’aplicació. Açò és especialment greu, ja que l’aplicació, per disseny, està pensada per a ser accessible en remot.PCAnywhere és una aplicació comercial popular de control remot creada per l’empresa Symantec, que permet als usuaris administrar un ordinador a distància. Açò és especialment útil per a situacions on l’accés físic no siga possible, per a tasques de suport en remot, etc., i per això sol estar accessible en xarxes obertes. En el servidor el procés escolta per defecte en el port TCP 5631.
En el servidor els processos de connexió els maneja el component awhost32. En este procés hi ha una error a l’hora de validar o filtrar les dades d’accés introduïdes per l’usuari, cosa que permet un desbordament de memòria intermèdia. Si s’envien peticions especialment manipulades, es pot executar un codi arbitrari en l’equip amb privilegis de SYSTEM (els màxims en Windows).
Encara que Symantec coneixia el problema des d’agost de 2011, a pesar de la seua gravetat s’ha fet públic ara. Va ser reportat de forma privada a través de ZDI, i ara han coordinat una solució. Malgrat que en teoria el gravíssim problema només fóra conegut pel descobridor, ZDI (que va comprar la vulnerabilitat al descobridor) i per Symantec, açò sempre comportaria riscos. Durant cinc mesos, hi ha la possibilitat des de filtrar la informació fins que siga descoberta per qualsevol altre investigador de forma independent, i potser amb altres intencions.
L’error recorda al que va patir VNC al maig de 2006. No es tractava llavors d’un problema de desbordament de memòria intermèdia, però permetia eludir l’autenticació en el servidor. Fins i tot hui es poden trobar molts servidors amb versions no corregides d’este programa.
Els administradors de PCAnywhere que no hagen modificat el port per defecte, restringit el rang d’adreces que poden connectar-s'hi, protegit el procés amb DEP, ASLR, o pres altres consideracions de seguretat bàsiques, tenen un greu problema fins que s'actualitzen. L’error ja ha sigut corregit.
Sistemes Afectats:PCAnywhere
Referències:None
Solució:Es recomana actualitzar a l’última versió disponible com més prompte millor.
Notes:Security Advisories Relating to Symantec Products - Symantec pcAnywhere Remote Code Execution, Local Access File Tampering
http://www.symantec.com/security_response/securityupdates/detail.jsp?
fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
Symantec PCAnywhere awhost32 Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-12-018/
una-al-dia (15.05.2006) Greu vulnerabilitat en RealVNC
http://unaaldia.hispasec.com/2006/05/grave-vulnerabilidad-en-realvnc.html