Los investigadores de la firma de ciberseguridad SafeBreach han descubierto y reportado vulnerabilidades de elevación de privilegios, pre-carga de librerías DLL y ejecución arbitraria de código malicioso en productos de Kaspersky, TrendMicro y AutoDesk.

Kaspersky Secure Connection

Comencemos con nuestros queridos amigos rusos, Kaspersky Lab.
La vulnerabilidad fue encontrada en la aplicación Kaspersky Secure Connection, un cliente de VPN para sistemas operativos MS Windows, específicamente en un servicio firmado de la misma ('KSDE'). Este servicio, al iniciarse automáticamente durante la carga del sistema operativo y ser ejecutado como el usuario 'SYSTEM' (la cuenta de usuario con más privilegios sobre Windows), intenta cargar múltiples librerías DLL faltantes.

Debido a que el proceso 'ksde.exe' no realiza una verificación de firma sobre los archivos DLL, un atacante podría incluir su propia DLL en la carga y ejecutarla como el usuario 'SYSTEM' bajo el proceso 'ksde.exe'.

Aqui la función 'USHATA' llama a la función 'LoadLibraryExWStub'
La función 'LoadLibraryExWStub' no tiene flags ni tampoco llama a otra función (ej. 'WinVerifyTrust')
Libreria 'chakum.DLL' con firma falsa cargada exitosamente con el proceso 'ksde.exe' bajo el usuario 'SYSTEM'.

Esto le permitiría al atacante de forma persistente cargar y ejecutar aplicaciones maliciosas así como evadir determinados controles de seguridad mediante la modificación de la lista blanca de aplicaciones (whitelisting).

Trend Micro Security 16 y AutoDesk Desktop App

Continuamos el post con nuestros estimados colegas de Trend Micro y AutoDesk.
La mécanica de sus vulnerabilidades es, esencialmente, la misma que en el caso de Kaspersky: proceso secundario ('coreServiceShell.exe' para Trend Micro y 'AdAppMgrSvc.exe' para AutoDesk) desprotegido y ejecutado con credenciales del mas alto nivel de privilegios (usuario 'SYSTEM') cuyo código intenta cargar librerías DLL faltantes pero no verifica la firma de dichas librerías cargadas, permitiendo al atacante infiltrar su propia librería DLL, elevar sus privilegios de ejecución, y ejecutar código malicioso de forma arbitraria. En el caso de Trend Micro Security, el riesgo es mayor ya que se evaden las defensas propuestas por la solución anti-malware (anti-virus, IDS, firewall, escaneos, controles anti-tampering, etc.).

Pruebas realizadas con Trend Micro Security 16
Proceso 'coreServiceShell.exe' intentando cargar las librerías DLL faltantes, usando los directorios de la variable PATH
Librería DLL maliciosa con firma falsa cargada exitosamente, con el proceso 'coreServiceShell' bajo el usuario 'SYSTEM', 
Debugging del proceso, mostrando la carga de la las librerías DLL con la función 'LoadLibraryExW' sin limitar la búsqueda a directorios específicos y sin verificar la firma de las mismas con la función 'WinVerifyTrust'.
Pruebas realizadas con AutoDesk Desktop App

Remediación

Para consultar qué productos y versiones están afectados por estas vulnerabilidades y para descargar los respectivos parches de seguridad, revisen los siguientes links:

Fuentes:
SafeBreach

CVE-Mitre: