Исследователи в области кибербезопасности раскрыли подробности уязвимостей, обнаруженных в популярных антивирусных решениях, которые могут позволить злоумышленникам повысить свои привилегии, тем самым помогая вредоносному ПО закрепиться на зараженных системах.
Согласно отчету, опубликованному CyberArk Labs, часто связанные с антивирусными продуктами высокие привилегии делают их более уязвимыми для атак с помощью манипуляций с файлами, что приводит к реализации сценариев с получением повышенных прав доступа в систему вредоносными программами.
Эти ошибки встречаются в большом количестве антивирусных решений, в том числе Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender, каждое из которых было пропатчено соответствующим производителем.
Главным недостатком является возможность удаления файлов из произвольных мест, что позволяет злоумышленнику удалить любой файл в системе, а также уязвимость повреждения файлов, которая позволяет злоумышленнику удалить содержимое любого файла в системе.
По данным CyberArk, ошибки возникают при использовании стандартных DACL (Discretionary Access Control Lists) для папки «C:\ProgramData» в Windows, которая представляет собой стандартное место хранения данных приложений, не требующее дополнительных разрешений.
Учитывая, что каждый пользователь имеет права как на запись, так и на удаление на базовом уровне каталога, это повышает вероятность повышения привилегий, когда непривилегированный процесс создает новую папку в ProgramData, к которой впоследствии может получить доступ привилегированный процесс.
|
Антивирус |
Уязвимость |
| Kaspersky Security Center CVE |
CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 |
|
McAfee Endpoint Security and McAfee Total Protection |
CVE-2020-7250, CVE-2020-7310 |
|
Symantec Norton Power Eraser |
CVE-2019-1954 |
|
Fortinet FortiClient |
CVE-2020-9290 |
|
Check Point ZoneAlarm and Check Point Endpoint Security |
CVE-2019-8452 |
|
Trend Micro HouseCall for Home Networks |
CVE-2019-19688, CVE-2019-19689, и еще три неклассифицированных уязвимости |
|
Avira |
CVE-2020-13903 |
|
Microsoft Defender |
CVE-2019-1161 |
В одном случае было замечено, что два разных процесса (один с привилегиями, а другой без) запускаются от имени аутентифицированного локального пользователя, совместно используют один и тот же лог-файл, что потенциально позволяет злоумышленнику использовать привилегированный процесс для удаления файла и создания «мягкой» ссылки», указывающей на произвольный файл с вредоносным содержимым.
Впоследствии исследователи CyberArk также изучили возможность создания новой папки в «C:\ProgramData» перед выполнением привилегированного процесса.
При этом они обнаружили, что при запуске антивирусного инсталлятора McAfee после создания папки «McAfee», стандартный пользователь имеет полный контроль над этой папкой, что позволяет локальному пользователю получить повышенные разрешения путем выполнения атаки по «мягкой» ссылке.
Кроме того, злоумышленник мог воспользоваться возможностью перехвата DLL в продуктах Trend Micro, Fortinet и других антивирусных решениях, чтобы поместить вредоносный файл DLL в каталог приложения и повысить права доступа.
Стремясь ограничить списки контроля доступа, чтобы предотвратить произвольное удаление уязвимостей, CyberArk подчеркнул необходимость обновления установочных фреймворков для предотвращения атак перехвата DLL.
Хотя эти проблемы, возможно, и были решены, отчет служит напоминанием о том, что слабые места в программном обеспечении, в том числе те, которые направлены на обеспечение антивирусной защиты, могут стать каналом для распространения вредоносного ПО.
«Последствием таких ошибок часто становится эскалация полных привилегией в локальной системе», - сообщают исследователи CyberArk. «Из-за высокого уровня привилегий продуктов безопасности, уязвимости в них могут помочь вредоносному ПО проникнуть в сеть и нанести крупный ущерб организации».
Перевод сделан со статьи https://thehackernews.com
