Специалист австрийской компании Kapsch Флорин Богнер (Florian Bogner) опубликовал детальный отчет, посвященный проблеме AVGater, затронувшей сразу ряд популярных антивирусных продуктов. Исследователь рассказал, что обнаружил баг, из-за которого помещенную в карантин малварь можно было не просто восстановить, но при этом повысить ее привилегии и внедрить в наиболее критические области операционной системы.

Проблема затрагивала продукцию Trend Micro, Emsisoft, Malwarebytes, Ikarus, Check Point и «Лаборатории Касперского», и в настоящее время все перечисленные производители уже выпустили исправления. Богнер сообщает, что это далеко не полный список уязвимых защитных продуктов, но по этическим соображениями он не раскрывает названия антивирусов, которые уязвимы перед AVGater до сих пор.

Исследователь объясняет, что уязвимость позволяет использовать защитное приложение (как правило, имеющее привилегии SYSTEM) для восстановления малвари, уже попавшей в карантин. Однако вредоноса можно не просто вернуть в ту директорию, из которой он попал в карантин изначально, но поместить в любую другую, включая Program Files или Windows, куда малварь не могла бы проникнуть, имея обычные пользовательские привилегии. Хуже того, на этот раз антивирус ничего не заметит. Такое становится возможным благодаря особенностям работы NTFS junction point, то есть благодаря точке соединения NTFS.

Схема работы атаки

Так как многие службы и процессы ядра в Windows «обучены» автоматически загружать и запускать файлы DLL, расположенные в определенных директориях, после перезагрузки компьютера, ранее находившаяся в карантине малварь будет выполнена, будто является частью одной из служб и попадает в «белые списки» легитимных приложений. Таким образом, благодаря AVGater, атакующий может повысить свои привилегии и добиться устойчивого присутствия в системе.

Помимо статьи, которая рассказывает о проблеме AVGater в целом, специалист опубликовал материалы, в которых более детально разбирает эксплуатацию бага на примере продукции Emsisoft и Malwarebytes.



2 комментария

  1. Il

    14.11.2017 at 00:04

    Всегда было так, антивирус защищает равно до того момента пока сам защищён. А если нет, то ничего не спасает

    • john_

      17.11.2017 at 16:39

      Это не только к антивирусам относится, а ко всему. Замки физические тоже защищают до тех пор, пока безопасны.

Оставить мнение