منبع تصویر: wikipedia.org ، مجوز: Creative Commons 1.0 ، خالق: Debi A ~ n ~ جسی [Security Endpoint Security] متعلق به گروه بزرگ
Symantec Endpoint Protection یک مجموعه نرم افزار امنیتی است که در بسیاری از محیط های پر خطر مستقر است و به مدیران کمک می کند تا سیستم های جلوگیری از نفوذ را تنظیم کنند. همچنین ویژگی های فایروال را فراهم می کند که می تواند خطرات خارج از مزارع سرور یا رایانه های رومیزی را حفظ کند. محصول خاص محبوب ترین راه حل امنیتی نهایی نهایی در آنجا است ، بنابراین ما در مورد آسیب پذیری صحبت می کنیم که هزاران نفر را تحت تأثیر قرار می دهد. مانند سایر محصولات امنیتی که در گذشته اخیر مورد بحث قرار دادیم ، نرم افزار Symantec Endpoint Protection یک فرآیند امضا شده به عنوان NT Authority System را اجرا می کند ، و سعی می کند یک پرونده خاص DLL را بدون هیچ گونه اعتبار سنجی بارگذاری کند.
تیم SafeBreach PoC (اثبات مفهوم) را در قالب DLL پروکسی 32 بیتی که می تواند نام پرونده ، نام کاربری و نام فرآیند والدین را بنویسد ، توسعه داد ، در واقع نرم افزار Symantec را به یک تهدید مداوم برای قربانی تبدیل می کند. این امر به این دلیل است که یک بازیگر می تواند هر کد مورد نظر خود را از طریق DLL بدون امضا اجرا کند ، و حداکثر امتیازات سیستم را در اختیار داشته باشد و مکانیسم دفاع از محصول را کاملاً دور کند. دلیل اصلی این امر باز هم عدم وجود اعتبار صوتی دیجیتال برای پرونده DLL است.
