Специалист австрийской компании Kapsch Флорин Богнер (Florian Bogner) опубликовал детальный отчет, посвященный проблеме AVGater, затронувшей сразу ряд популярных антивирусных продуктов. Исследователь рассказал, что обнаружил баг, из-за которого помещенную в карантин малварь можно было не просто восстановить, но при этом повысить ее привилегии и внедрить в наиболее критические области операционной системы.
Проблема затрагивала продукцию Trend Micro, Emsisoft, Malwarebytes, Ikarus, Check Point и «Лаборатории Касперского», и в настоящее время все перечисленные производители уже выпустили исправления. Богнер сообщает, что это далеко не полный список уязвимых защитных продуктов, но по этическим соображениями он не раскрывает названия антивирусов, которые уязвимы перед AVGater до сих пор.
Исследователь объясняет, что уязвимость позволяет использовать защитное приложение (как правило, имеющее привилегии SYSTEM) для восстановления малвари, уже попавшей в карантин. Однако вредоноса можно не просто вернуть в ту директорию, из которой он попал в карантин изначально, но поместить в любую другую, включая Program Files или Windows, куда малварь не могла бы проникнуть, имея обычные пользовательские привилегии. Хуже того, на этот раз антивирус ничего не заметит. Такое становится возможным благодаря особенностям работы NTFS junction point, то есть благодаря точке соединения NTFS.
Так как многие службы и процессы ядра в Windows «обучены» автоматически загружать и запускать файлы DLL, расположенные в определенных директориях, после перезагрузки компьютера, ранее находившаяся в карантине малварь будет выполнена, будто является частью одной из служб и попадает в «белые списки» легитимных приложений. Таким образом, благодаря AVGater, атакующий может повысить свои привилегии и добиться устойчивого присутствия в системе.
Помимо статьи, которая рассказывает о проблеме AVGater в целом, специалист опубликовал материалы, в которых более детально разбирает эксплуатацию бага на примере продукции Emsisoft и Malwarebytes.