Beveiligingsgaten ontdekt in Symantec Endpoint Protection

Drie beveiligingsgaten zijn opgedoken in de Symantec Endpoint Protection (SEP) software. Symantec adviseert gebruikers van de software zo snel mogelijk te updaten.

Het gaat om een cross-site scripting (XSS) lek (CVE-2015-8152) en een SQL injectie kwetsbaarheid (CVE-2015-8153) in SEP Management Console. Dit is een web gebaseerde portal die gebruikers de mogelijkheid geeft via het netwerk of lokaal in te loggen op de managementserver van SEP. De kwetsbaarheden kunnen worden misbruikt door een ingelogde gebruiker om meer rechten in handen te krijgen. Deze twee beveiligingsgaten zijn gevonden door Anatoly Katyushin van Kaspersky Labs.

SysPlant.sys driver

Het derde lek zit in SEP’s SysPlant.sys driver (CVE-2015-8154). Deze kan worden misbruikt om beveiligingsmaatregelen van SEP te omzeilen. Deze maatregelen zijn bedoeld om te voorkomen dat gebruikers onvertrouwde code kunnen draaien op hun werksysteem. Door deze te omzeilen kunnen aanvallers dan ook malafide code op systemen draaien en hiermee de machines aanvallen. Dit lek is gevonden door het onderzoeksteam van beveiligingsstartup enSilo.

De kwetsbaarheden zijn aanwezig in SEP v12.1 en eerder. IT-beheerders worden daarom geadviseerd de software te updaten naar versie 12.1 RU6 MP4. Daarnaast adviseert Symantec beheerders toegang op afstand tot het SEP console als preventieve maatregel te blokkeren. Daarnaast is het verstandig bestaande gebruikersaccounts te onderzoeken om zeker te stellen dat beheerdersrechten alleen zijn toegekend aan gebruikers die deze rechten daadwerkelijk nodig hebben.