Avisos 27 de January, 2012

Actualització de Symantec pcAnywhere

El fabricant Symantec ha publicat una actualització del seu producte pcAnywhere, utilitzat per al control remot dels sistemes. La nova versió soluciona dues vulnerabilitats de seguretat, una d'elles permetria a un atacant remot prendre el control de la màquina afectada.

Recursos afectats: Symantec pcAnywhere 12.5.x
IT Management Suite 7.0 pcAnywhere Solution 12.5.x
IT Management Suite 7.1 pcAnywhere Solution 12.6.x


Impacte: Execució remota de codi, escalada local de privilegis.

Solució: Es recomana actualitzar immediatament a les noves versions que solucionen les vulnerabilitats mitjançant l'eina LiveUpdate inclosa al propi pcAnywhere i d'altres productes del fabricant.
També és possible descarregar el pegat des de la web del fabricant, i a més de l'actualització, s'ha fet públic un document amb recomanacions generals de seguretat per a usuaris d'aquest programari. (veure enllaços a l'apartat Referències).


Detall: El programari pcAnywhere escolta per defecte a nivell de xarxa en el port TCP 5631, i els processos de connexió són gestionats pel component awhost32. Aquest conté un error de validació o filtratge de les dades d'accés introduïdes per l'usuari que permet un desbordament de memòria intermèdia. Si s'envien peticions especialment manipulades, es podria executar codi arbitrari en l'equip amb privilegis de tipus SYSTEM (els màxims a Windows).
Diverses fonts informen respecte a un important augment en el nombre de connexions a la xarxa dirigides cap al port utilitzat per pcAnywhere, de manera que es dedueix que s'estan produint un escaneig massiu de l'espai d'adreçament públic per identificar objectius vulnerables.
La segona vulnerabilitat és deguda al fet que els arxius copiats durant el procés d'instal•lació de pcAnywhere es marcaven amb privilegis d'escriptura per a tots els usuaris. Això permetria a qualsevol usuari local sobreescriure aquests arxius, el que podria utilitzar-se per aconseguir privilegis d'administració.
Encara que algunes fonts suggereixen el contrari, és poc probable que el descobriment de les vulnerabilitats estigui relacionat amb un pressumpte robatori de codi font patit pel fabricant el 2006 que s'ha conegut recentment, ja que aquestes han estat reportades per investigadors de seguretat de forma privada.
Els identificadors estàndard per aquestas vulnerabilitats són:
•    CVE-2011-3478
•    CVE-2011-3479



Refs:

Avís de seguretat de Symantec http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

Pàgina de descàrrega de l'actualització http://www.symantec.com/business/support/index?page=content&id=TECH179526

• Recomanacions de seguretat de Symantec per l'ús de PCAnywhere http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf

Publicat a: Avisos