Situación
Se ha detectado una vulnerabilidad por la cual es posible ejecutar código con privilegios elevados en las versiones de producto de Consumo 2016 y en Small Business Protection. El proceso PSEvents.exe se ejecuta de forma periódica con permisos elevados y tiene dependencias de librerías que están ubicadas tanto en el directorio por defecto como en otros directorios del sistema. Dado que el grupo USERS tiene permisos de escritura en la carpeta en la que se ejecuta el proceso PSEvents.exe y que el sistema busca las librerías a usar por dicho proceso, como primera opción, en la carpeta de ejecución, es posible adelantarse a la carga de librerías de otras ubicaciones creando una librería malintencionada, en la carpeta de ejecución, que tome el nombre de una de las librerías instaladas en otras ubicaciones.
Por lo tanto, un usuario podría ejecutar código malintencionado con privilegios de SYSTEM.
Solución
Para resolver los problemas de escalado local de privilegios Panda Security ha generado un hotfix para los productos afectados.
Cómo aplicar el hotfix
Sigue los pasos que se indican a continuación para aplicar la solución:
- Descarga el hotfix pulsando el botón Descargar:
- Ejecuta el hotfix en el equipo y verifica que la carpeta %ProgramData%\Panda Security\Panda Devices Agent\Downloads tiene permisos de Solo lectura para el grupo USERS.
Panda Security quiere agradecer a Security-Assessment.com y al investigador Ashraf Alharbi su esfuerzo constante en la mejora de la seguridad.