L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Panda Antivirus

alerte de vulnérabilité CVE-2017-5565 CVE-2017-5566 CVE-2017-5567

Antivirus : élévation de privilèges via Microsoft Application Verifier

Synthèse de la vulnérabilité

Produits concernés : Avast AV, NOD32 Antivirus, F-Secure AV, AVG AntiVirus, McAfee MOVE AntiVirus, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, TrendMicro Internet Security, OfficeScan.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/03/2017.
Références : 1116957, CVE-2017-5565, CVE-2017-5566, CVE-2017-5567, CVE-2017-6186, CVE-2017-6417, VIGILANCE-VUL-22211.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 19977

Panda Antivirus, Panda Internet Security : élévation de privilèges via bcryptprimitives.dll

Synthèse de la vulnérabilité

Un attaquant peut créer un module bcryptprimitives.dll dans le dossier d'installation de Panda Antivirus et Panda Internet Security, afin obtenir les privilèges du système.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/06/2016.
Références : VIGILANCE-VUL-19977.

Description de la vulnérabilité

Les produits Panda Antivirus et Panda Internet Security dont constitués de plusieurs modules dont certains n'existent que sur certaines plateformes.

La bibliothèque partagée bcryptprimitives.dll fait partie des modules qui n'existent pas partout mais que le produit tente de charge systématiquement. Cependant, le dossier ou est elle cherchée est modifiable par des utilisateurs ordinaires. Un attaquant peut donc créer un module de nom dans ce dossier et qui sera exécuté avec les privilèges du compte système NT_AUTHORITY\SYSTEM. Cette vulnérabilité est de la même famille que celle décrite dans VIGILANCE-VUL-19558.

Un attaquant peut donc créer un module bcryptprimitives.dll dans le dossier d'installation de Panda Antivirus et Panda Internet Security, afin obtenir les privilèges du système.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 18671

Windows : exécution de code durant l'installation d'application

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Produits concernés : 7-Zip, ZoneAlarm, FileZilla Server, GIMP, Chrome, Kaspersky AV, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, Opera, Panda AV, Panda Internet Security, OfficeScan, TrueCrypt, VLC.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/01/2016.
Références : sk110055, VIGILANCE-VUL-18671.

Description de la vulnérabilité

Lorsqu'un utilisateur installe une nouvelle application sous Windows, il télécharge le programme d'installation (install.exe par exemple), puis l'exécute.

Cependant, de nombreux programmes d'installation chargent des DLL (par exemple graphique.dll) depuis le répertoire courant. Ainsi, si un attaquant a invité la victime à télécharger un fichier graphique.dll malveillant, avant qu'il exécute install.exe depuis le répertoire Téléchargement, le code situé dans la DLL est exécuté.

Le bulletin VIGILANCE-VUL-19558 décrit le même problème pour d'autres produits.

Un attaquant peut donc inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-1438

Panda AV/IS : corruption de mémoire via PSKMAD.sys

Synthèse de la vulnérabilité

Un attaquant local peut provoquer une corruption de mémoire dans PSKMAD.sys de Panda AV/IS, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges système.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2015.
Références : CVE-2015-1438, VIGILANCE-VUL-17401.

Description de la vulnérabilité

Les produits Panda installent le pilote PSKMAD.sys.

Cependant, un attaquant local peut interagir avec ce pilote, pour corrompre sa mémoire.

Un attaquant local peut donc provoquer une corruption de mémoire dans PSKMAD.sys de Panda AV/IS, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges système.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 16617

Panda Antivirus, Internet Security : élévation de privilèges via Debug

Synthèse de la vulnérabilité

Un attaquant local peut déboguer le processus de vérification de mot de passe de Panda Antivirus ou Internet Security, afin d'altérer la configuration.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 1/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : source unique (2/5).
Date création : 15/04/2015.
Références : SYSS-2015-012, SYSS-2015-013, VIGILANCE-VUL-16617.

Description de la vulnérabilité

Les produits Panda Antivirus et Panda Internet Security utilisent un mot de passe pour protéger l'accès à leur configuration.

Le programme PSUAMain.exe (PSUNConsole.dll) gère la vérification de ce mot de passe. Cependant, ce programme s'exécute en tant qu'utilisateur courant.

Un attaquant local peut donc déboguer le processus de vérification de mot de passe de Panda Antivirus ou Internet Security, afin d'altérer la configuration.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-5307

Panda Security : buffer overflow de PavTPK.sys

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow dans PavTPK.sys de Panda Security, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du noyau.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/08/2014.
Références : CVE-2014-5307, VIGILANCE-VUL-15212.

Description de la vulnérabilité

Les produits de Panda Security incluent un pilote PavTPK.sys, avec lequel un programme de l'espace utilisateur peut communiquer via des appels "ioclt".

La commande de numéro 0×222008 prend un tampon en argument. La taille des données est déduite d'une structure fournie par le noyau Windows mais accessible à l'application. L'application peut donc forcer le pilote à copier dans l'espace du noyau plus de données que le pilote peut en gérer.

Un attaquant peut donc provoquer un buffer overflow dans PavTPK.sys de Panda Security, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du noyau
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-3450

Panda AV, IS : élévation de privilèges

Synthèse de la vulnérabilité

Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/05/2014.
Références : CVE-2014-3450, VIGILANCE-VUL-14777.

Description de la vulnérabilité

Un attaquant local peut employer une vulnérabilité de Panda AV Pro ou Internet Security, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2012-1420 CVE-2012-1432 CVE-2012-1433

Panda Antivirus : contournement via CAB, ELF, EXE, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Panda Antivirus.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 21/03/2012.
Références : BID-52582, BID-52592, BID-52593, BID-52594, BID-52595, BID-52596, BID-52598, BID-52600, BID-52601, BID-52602, BID-52604, BID-52605, BID-52606, BID-52608, BID-52614, BID-52615, BID-52621, BID-52623, CVE-2012-1420, CVE-2012-1432, CVE-2012-1433, CVE-2012-1434, CVE-2012-1435, CVE-2012-1436, CVE-2012-1439, CVE-2012-1440, CVE-2012-1442, CVE-2012-1444, CVE-2012-1445, CVE-2012-1446, CVE-2012-1447, CVE-2012-1453, CVE-2012-1454, CVE-2012-1456, CVE-2012-1459, CVE-2012-1463, VIGILANCE-VUL-11471.

Description de la vulnérabilité

Les outils d'extraction d'archives (CAB, TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF, EXE) légèrement malformés. Cependant, Panda Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\7fELF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52615, CVE-2012-1420]

Un programme EXE contenant "\57\69\6E\5A\69\70" à l'offset 29 contourne la détection. [grav:2/4; BID-52594, CVE-2012-1432]

Un programme EXE contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:2/4; BID-52596, CVE-2012-1433]

Un programme EXE contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:2/4; BID-52582, CVE-2012-1434]

Un programme EXE contenant "\50\4B\4C\49\54\45" à l'offset 30 contourne la détection. [grav:2/4; BID-52592, CVE-2012-1435]

Un programme EXE contenant "\2D\6C\68" à l'offset 3 contourne la détection. [grav:2/4; BID-52593, CVE-2012-1436]

Un programme ELF contenant un champ "padding" trop grand contourne la détection. [grav:2/4; BID-52602, CVE-2012-1439]

Un programme ELF contenant un champ "identsize" trop grand contourne la détection. [grav:2/4; BID-52595, CVE-2012-1440]

Un programme EXE contenant un champ "class" trop grand contourne la détection. [grav:2/4; BID-52598, CVE-2012-1442]

Un programme ELF contenant un champ "abiversion" trop grand contourne la détection. [grav:2/4; BID-52604, CVE-2012-1444]

Un programme ELF contenant un champ "abi" trop grand contourne la détection. [grav:2/4; BID-52605, CVE-2012-1445]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Un programme ELF contenant un champ "e_version" trop grand contourne la détection. [grav:2/4; BID-52601, CVE-2012-1447]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4; BID-52621, CVE-2012-1453]

Un programme ELF contenant un champ "ei_version" trop grand contourne la détection. [grav:2/4; BID-52606, CVE-2012-1454]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Un programme ELF avec un cinquième octet modifié contourne la détection. [grav:2/4; BID-52614, CVE-2012-1463]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 9746

Panda AV, IS : buffer overflow de RKPavProc.sys

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un débordement dans le pilote Panda RKPavProc.sys, afin d'obtenir les privilèges du système.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/07/2010.
Références : 20100630 80184 EN, BID-41428, NTIADV0905, VIGILANCE-VUL-9746.

Description de la vulnérabilité

Les produits Panda Antivirus et Panda Internet Security installent le pilote RKPavProc.sys pour détecter les RootKits. Ce pilote comporte deux vulnérabilités.

Un attaquant local peut employer l'ioctl 0x1FA50004, afin de forcer RKPavProc.sys à déréférencer un pointeur NULL, ce qui provoque un déni de service. [grav:1/4]

Un attaquant local peut employer l'ioctl 0x1FA50010, afin de provoquer un buffer overflow dans RKPavProc.sys, ce qui conduit à l'exécution de code avec les privilèges du système. [grav:2/4]

Un attaquant local peut donc provoquer un débordement dans le pilote Panda RKPavProc.sys, afin d'obtenir les privilèges du système.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Panda Antivirus :