Escalade de privilèges critique dans l’installeur de Norton Secure VPN

Une vulnérabilité majeure a été identifiée dans le processus d’installation de Norton Secure VPN (version 6.5.0.59) via le Microsoft Store. Un attaquant local peut exploiter cette faille pour supprimer des fichiers arbitraires sur le système, ouvrant la voie à une élévation de privilèges.

Points clés :

• Le processus d’installation s’exécute initialement avec des privilèges standards, puis relance l’installeur avec des privilèges élevés (High Integrity).
• Durant l’installation, le logiciel vérifie et nettoie des fichiers temporaires dans un répertoire situé dans C:\ProgramData, un emplacement accessible en écriture par des utilisateurs non privilégiés.
• En créant une jonction Windows malveillante dans le dossier de travail de l’installeur, un utilisateur peut forcer le processus à supprimer des fichiers critiques du système lors de la phase de nettoyage, suite à une vérification de hash infructueuse.

Informations techniques :

• Vulnérabilité : CWE-1386 (Opération non sécurisée sur les points de montage/jonctions Windows).
• Score CVSSv3 : 8.8 (Élevé).
• CVE : TALOS-2025-2276 (Référence interne Cisco Talos).

Recommandations :

• Mise à jour : Les utilisateurs sont invités à vérifier la disponibilité de correctifs auprès de Gen Digital/Norton et à mettre à jour leur logiciel vers une version corrigée.
• Bonnes pratiques : Éviter d’installer des logiciels nécessitant une élévation de privilèges si l’installeur manipule des dossiers partagés ou non sécurisés dans C:\ProgramData tant que la vulnérabilité persiste.
• Surveillance : Les administrateurs système doivent surveiller les comportements suspects liés à l’exécution de NortonSecureVPN.exe lors des phases d’installation.

Source