賽門鐵克公司向其Endpoint Protection（簡稱SEP）產(chǎn)品用戶發(fā)出提醒，要求其更新系統(tǒng)以修復(fù)此前發(fā)布的三項(xiàng)相關(guān)安全漏洞。

其中兩項(xiàng)bug——其一為跨站點(diǎn)腳本（簡稱XSS）漏洞，一項(xiàng)為SQL注入漏洞——皆存在于SEP管理控制臺(tái)當(dāng)中，此控制臺(tái)作為Web入口允許用戶通過網(wǎng)絡(luò)或者本地方式登錄至SEP管理服務(wù)器。這兩項(xiàng)編程失誤有可能導(dǎo)致登錄至控制臺(tái)的用戶不當(dāng)獲取更高權(quán)限。

另一項(xiàng)bug來自SEP的SysPlant.sys驅(qū)動(dòng)程序，可被用于繞過SEP的安全控件——此控件本應(yīng)用于阻止用戶在其工作PC上運(yùn)行可疑或者不受信代碼。在繞過該驅(qū)動(dòng)程序后，惡意代碼將能夠?qū)δ繕?biāo)設(shè)備進(jìn)行攻擊。

“成功繞過安全控件有可能在客戶系統(tǒng)之上利用登錄用戶權(quán)限有針對性地執(zhí)行任意代碼，”賽門鐵克公司指出。“這種類型的惡意行為一般需要誘導(dǎo)當(dāng)前已驗(yàn)證用戶訪問惡意鏈接或者打開惡意夢游，例如通過釣魚網(wǎng)站或者電子郵件等途徑。”

賽門鐵克方面建議各位IT管理員將SEP v12.1或者更早版本更新至12.1 RU6 MP4版本。賽門鐵克公司還建議各位管理員限制指向SEP控制臺(tái)的遠(yuǎn)程訪問，同時(shí)審查賬戶以確保僅擁有必要管理權(quán)限的使用者能夠接入。

這項(xiàng)編號為CVE-2015-8152的XSS漏洞允許登錄用戶在登錄腳本當(dāng)中嵌入惡意代碼。該代碼隨后會(huì)由SEP管理控制臺(tái)加以執(zhí)行，進(jìn)而使得當(dāng)前已驗(yàn)證用戶獲得管理員級別的高權(quán)限。該漏洞由卡巴斯基實(shí)驗(yàn)室的Anatoly Katyushin發(fā)現(xiàn)。

而編號為CVE-2015-8153的SQL注入漏洞則允許已登錄攻擊者劫持該SEP管理控制臺(tái)并將自身權(quán)限提升至管理員級別。其同樣由Anatoly Katyushin所發(fā)現(xiàn)。

第三項(xiàng)安全漏洞編號為CVE-2015-8154，這項(xiàng)與sysplant.sys Windows驅(qū)動(dòng)程序相關(guān)的漏洞由enSilo研究小組發(fā)現(xiàn)。

目前還沒有任何報(bào)道表明這些漏洞曾被實(shí)際攻擊活動(dòng)所利用。