CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

30/06/2016

Múltiples vulnerabilitats crítiques en productes Symantec i Norton

S’han anunciat un total de set vulnerabilitats que afecten múltiples productes de Symantec i Norton, moltes d’elles podrien permetre a un atacant prendre el control dels sistemes afectats. La firma ha confirmat altres 12 vulnerabilitats de diversa índole en Symantec Endpoint Protection Manager.

Risc: Baix

Una vegada més ixen a la llum vulnerabilitats reportades per Project Zero de Google. En aquesta ocasió són els productes de Symantec i Norton els afectats per fins a set problemes considerats crítics, que podrien permetre l’execució remota de codi. Tavis Ormandy, el conegut investigador de Google, ha confirmat que no requereixen cap interacció de l’usuari, afecten la configuració per defecte, i el programari s’executa en els nivells més alts possibles de privilegis. En certs casos en Windows, el codi vulnerable inclús es carrega en el nucli. Com Symantec utilitza el mateix motor en tota la seua gamma de productes, pràcticament la totalitat d’antivirus de Symantec i Norton es veuen afectats per les vulnerabilitats reportades per Google.

Les vulnerabilitats resideixen en el tractament d’arxius contenidors específicament construïts pel motor Decomposer de Symantec, que podria donar lloc a fallades de corrupció de memòria, desbordaments d'enters o desbordaments de búfer de memòria. Un atacant podria aconseguir l’execució de codi arbitrari per mitjà de l’enviament d’un arxiu maliciós a l’usuari afectat.

Sistemes Afectats:

Els productes Symantec afectats per aquests problemes són:
Advanced Threat Protection (ATP)
Symantec Data Center Server (SDCS:SA) 6.6 MP1 y 6.5 MP1
Symantec Critical System Protection (SCSP) 5.2.9 MP6
Symantec Embedded Systems Critical System Protection (SES:CSP) 1.0 MP5 y 6.5.0 MP1
Symantec Web Security .Cloud
Email Security Server .Cloud (ESS)
Symantec Web Gateway
Symantec Endpoint Protection (SEP) 12.1.6 MP4 y anteriores
Symantec Endpoint Protection para Mac (SEP for Mac) 12.1.6 MP4 y anteriores
Symantec Endpoint Protection para Linux (SEP for Linux) 12.1.6 MP4 y anteriores
Symantec Protection Engine (SPE) 7.0.5 y anteriores, 7.5.4 y anteriores y 7.8.0
Symantec Protection para SharePoint Servers (SPSS) 6.03 a 6.05 y 6.0.6 y anteriores
Symantec Mail Security para Microsoft Exchange (SMSMSE) 7.0.4 y anteriores y 7.5.4 y anteriores
Symantec Mail Security para Domino (SMSDOM) 8.0.9 y anteriores y 8.1.3 y anteriores
CSAPI 10.0.4 y anteriores
Symantec Message Gateway (SMG) 10.6.1-3 y anteriores
Symantec Message Gateway for Service Providers (SMG-SP) 10.6 y 10.5
Productos Norton afectados:
Norton Product Family (versiones anteriores a NGC 22.7)
Norton AntiVirus (versiones anteriores a NGC 22.7)
Norton Security (versiones anteriores a NGC 22.7)
Norton Security with Backup (versiones anteriores a NGC 22.7)
Norton Internet Security (versiones anteriores a NGC 22.7)
Norton 360 (versiones anteriores a NGC 22.7)
Norton Security for Mac (anteriores a 13.0.2)
Norton Power Eraser (NPE) (anteriores a 5.1)
Norton Bootable Removal Tool (NBRT) (anteriores a 2016.1)

Referències:

CVE-2016-2207, CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3644, CVE-2016-3645, CVE-2016-3646

Solució:

Les actualitzacions de productes de la família Norton es distribueixen a través de LiveUpdate (que s’executa de forma automàtica de forma regular o bé per mitjà de l’execució del propi usuari). Donada la diversitat de productes Symantec afectats, es recomana consultar el propi avís de la firma de seguretat per a obtindre l’actualització publicada.

Notes:

Més Vulnerabilitats en Symantec Endpoint Protection Mànager
La firma de seguretat ha publicat un segon avís de seguretat en el qual confirma un total de 12 vulnerabilitats, de molt diversa gravetat, que afecten Symantec Endpoint Protection Manager i client versió 12.1.

Els problemes resideixen en la consola d’administració de SEP i SEPM i podrien permetre a usuaris sense privilegis elevar els seus permisos en el sistema o aconseguir accés a informació sensible.

Els problemes resideixen en vulnerabilitats de Cross-site scripting i cross-site request forgery, possibilitat de realitzar atacs de força bruta contra la contrasenya, redireccions obertes o escalades de directoris. En aquest cas les vulnerabilitats inclouen els CVE-2016-3647 al CVE-2016-3653, CVE-2016-5304 al CVE-2016-5307 i CVE-2015-8801.

Es recomana actualitzar a Symantec Endpoint Protection Manager 12.1-RU6-MP5 disponible des de Symantec File Connect.

Més informació:
Security Advisories Relating to Symantec Products - Symantec Decomposer Engine Multiple Parsing Vulnerabilities
Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Multiple Security Issues
How to Compromise the Enterprise Endpoint
una-al-dia (08/09/2015) Polémicos anuncios de vulnerabilidades en productos Kaspersky y FireEye
una-al-dia (29/09/2015) Múltiples vulnerabilidades en productos Kaspersky
Kaspersky: Mo Unpackers, Mo Problems.

Font: Hispasec una-al-día

CSIRT-CV