Kaspersky corrige falha de gravidade 7.8 em sua VPN

Da Redação
05/08/2022

O pesquisador de segurança Zeeshan Shaikh, da Synopsys, descobriu uma perigosa vulnerabilidade de escalonamento de privilégios local (LPE) no Kaspersky VPN Secure Connection para Windows que permite que um invasor autenticado obtenha privilégios de administrador e controle total sobre o computador da vítima. A falha tem pontuação CVSS de 7,8 (alta). Para resolverem o problema, os usuários precisam atualizar para a versão 21.7.7.393 ou posterior.

Segundo o pesquisador, na parte “Ferramentas de Suporte” do aplicativo, um usuário qualquer pode usar o recurso de “Excluir” dados e relatórios do serviço para remover uma pasta de acesso privilegiado. Com base nessa possibilidade, um invasor pode aproveitar a exclusão arbitrária de pasta para SYSTEM EoP e assim obter privilégios de SISTEMA.

Veja isso
Eugene Kaspersky responde ao governo da Alemanha

Kaspersky entra em SASE adquirindo a Brain4Net

Zeeshan Shaikh informou no boletim da Synopsys que a Kaspersky foi informada e que brevemente deve ser publicado o CVE-2022-27535 com detalhes da falha que afeta o Kaspersky VPN Secure Connection 21.3.10.391 (h). O problema foi localizado em 9 de março de 2022 e a Kaspersky informada no dia 28 de março de 2022. Embora a Kaspersky tenha publicado a correção (31 de Maio), somente em 29 de Julho o pesquisador validou a solução.

Compartilhar: