top of page

McAfee corrige plusieurs failles affectant VirusScan Entreprise Linux

Les vulnérabilités, quand il y en a une ça va. Mais quand il y en a plusieurs, c’est là que les problèmes arrivent. C’est peu ou prou ce qui est arrivé à la solution VirusScan Entreprise Linux, qui corrigeait une dizaine de failles pouvant permettre l’exécution de code critique sur les machines.

Ces vulnérabilités ont été découvertes par le chercheur Andrew Fasano du laboratoire Lincoln au MIT. Comme il l’explique sur son blog, cette solution VirusScan avait tout pour faire une cible privilégiée « Au premier abord, VirusScan Entreprise Linux a toutes les caractéristiques que recherchent les chercheurs de vulnérabilité : le programme nécessite de fonctionner avec le niveau de privilège root, il explique vouloir sécuriser votre machine, il n’est pas particulièrement populaire et il n’a pas été mis à jour depuis longtemps. Quand j’ai repéré ces aspects, j’ai décidé de regarder ça de plus près. » Force est de constater que la moisson a été bonne.

Au total, le chercheur est ainsi parvenu à identifier une dizaine de vulnérabilités au sein du système. Celles-ci sont d’importances variables : certaines permettent la récupération de token d’identification au système, d’autres sont de classiques élévations de privilège et certaines permettent l’exécution de code. Prises individuellement, ces failles ne sont pas toutes critiques, mais une fois combinées entre elles, elles permettent à un attaquant de prendre le contrôle de la machine.

10 hit combo

Le chercheur explique ainsi sa méthode : à l’aide de deux vulnérabilités, il est ainsi capable d’obtenir via une attaque de force brute les tokens d’authentification. Puis, l’attaquant pourra mettre en place un faux serveur de mise à jour et exploiter une autre vulnérabilité et le token d’authentification pour forcer le système cible à appliquer une mise à jour malveillante qui va permettre l’installation d’un script sur la machine. Enfin, une dernière vulnérabilité est utilisée pour déclencher un scan qui va en réalité permettre l’exécution du script malveillant, qui sera donc exécuté avec le plus haut niveau de privilège sur la machine.

Complexe à mettre en place et apparemment complexe à corriger : les équipes d’Intel McAfee ont en effet été prévenues de cet exploit il y a six mois et n’ont patché leur système que le 9 décembre. Andrew Fasano explique sur son blog que la communication avec les équipes de McAfee semble avoir été compliquée : ceux-ci ont d’ailleurs demandé un délai pour corriger les failles, puis le chercheur explique avoir fait face à un silence radio jusqu’à ce qu’il menace de publier publiquement le détail des vulnérabilités.

Face à cet ultimatum, McAfee a accepté de corriger les failles au début du mois de décembre. Comme quoi malgré l’apparente bonne volonté des éditeurs et la multiplication des programmes de bug bounty, la correction de faille ne se fait pas toujours sans heurts.

Source: zdnet


Posts à l'affiche
Retrouvez-nous
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page