Miután egy biztonsági cég felhívta rá a figyelmet, a Symantec kiadott egy tájékoztatót, amelyben figyelmeztetnek arra, hogy néhány termékükben (Endpoint Protection 11.x és 12x verziók), az egyik elemben (Application and Device Control driver) hibák találhatók, köztük javítatlan, nulladik napi sebezhetőség is (ami azért is különösen kínos, mert az Endpoint többek között a nulladik napi hibák elleni védelmet is ajánl).

A sérülékenységeket az Offensive Security fedezte fel, miközben egy pénzügyi szolgáltató rendszerét tesztelték. A bejelentésben azt írták, hogy mindegyik hiba olyan, hogy az adott felhasználó – aki lehet támadó is – az alacsonyabb jogosultsági szintről magasabbra tud lépni, így fennáll a komolyabb károkozás lehetősége is. A cég azt is bejelentette, hogy egyes hibákat jeleztek a CERT-nek (a hálózatbiztonsági kérdésekkel foglalkozó szakértői csapatok – computer emergency response teams – amerikai központjának), míg másokat a pár nap múlva kezdődő neves hackertalálkozón, a Black Haten Las Vegasban, az Advanced Windows Exploitation (AWE) szekcióban be is fognak mutatni.

Symantec Endpoint Protection Privilege Escalation 0day from Offensive Security on Vimeo.

A Symantec elismerte a hibák létezését, de felhívják arra a figyelmet, hogy a sebezhetőségek nem tartoznak a legsúlyosabbak közé (saját terminológiájuk szerint: „medium severity”), és arról sincs tudomásuk, hogy bárki is kihasználta volna őket. Azt is közlik, hogy haladéktalanul hozzáfogtak a javításhoz.

A problémát azonban mégiscsak súlyosabbá teszi, hogy illesztőprogramról van szó, amelyeket általában kicsit problémásabb frissíteni, mint egyéb szoftvereket, magának a javított Symantec-szoftvernek a telepítése még nem biztos, hogy automatikusan megoldja a gondot.

A Symantec tanácsadójában javasol megoldást a rendszergazdáknak, méghozzá az ilyenkor szokásos „fix it” workaround megoldást: megmutatják, hogy miképp lehet letiltani vagy eltávolítani az Application and Device Control drivert.