Специалисты компании CyberArk Labs опубликовали отчет, согласно которому высокие привилегии антивирусного ПО делают его более уязвимыми. В итоге защитные решения могут использоваться для атак с манипуляциями с файлами, и малварь получать повышенные права в системе.­

Ошибки такого рода были обнаружены в продуктах Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender. В настоящее время все проблемы уже устранены разработчиками, а присвоенные им идентификаторы можно увидеть ниже (решения Avast и F-Secure пока ожидают присвоения CVE).

Антивирус Уязвимости
Kaspersky Security Center CVE-2020-25043, CVE-2020-25044, CVE-2020-25045
McAfee Endpoint Security и McAfee Total Protection CVE-2020-7250, CVE-2020-7310
Symantec Norton Power Eraser CVE-2019-1954
Fortinet FortiClient CVE-2020-9290
Check Point ZoneAlarm и Check Point Endpoint Security CVE-2019-8452
Trend Micro HouseCall for Home Networks CVE-2019-19688, CVE-2019-19689 и еще три проблемы, пока без идентификаторов CVE
Avira CVE-2020-13903
Microsoft Defender CVE-2019-1161

 

Главным из обнаруженных в антивирусах недостатков исследователи называют возможность удалять файлы из произвольных мест, что позволяет злоумышленнику стереть любой файл в системе. Также отмечается похожая уязвимость, связанная с повреждением файлов, которая позволяет удалить содержимое любого файла в системе.

Согласно отчету, проблемы в основном возникают из-за дефолтных списков DACL (Discretionary Access Control Lists) для папки C:\ProgramData в Windows, которая используется приложениями для хранения данных пользователей без дополнительных разрешений. Так как каждый пользователь имеет права на запись и удаление на базовом уровне каталога, растет вероятность злоупотребления повышением привилегий, когда непривилегированный процесс создает новую папку в ProgramData, к которой впоследствии может получить доступ привилегированный процесс.

Было замечено, что когда два разных процесса (один привилегированный, а другой запущенный от лица аутентифицированного локального пользователя) совместно используют один и тот же лог-файл, злоумышленник может использовать привилегированный процесс для удаления файла и создания символической ссылки, которая будет указывать на произвольный файл с вредоносным содержимым.

Также аналитики CyberArk Labs изучили возможность создания новой папки в C:\ProgramData перед выполнением привилегированного процесса. В частности, они обнаружили, что процесс установки антивируса McAfee запускается после создания папки McAfee, и в это время стандартный пользователь имеет полный контроль над каталогом, может получить повышенные привилегии и выполнить атаку с использованием символической ссылки.

Кроме того, исследователи сообщают, что продукты Trend Micro, Fortinet и так далее могли использоваться для помещения вредоносного DLL-файла в каталог приложения и последующего повышения привилегий.

1 комментарий

  1. Аватар

    Andrey_Vladimirovich

    14.10.2020 в 04:22

    Ответ на вопрос, почему так, очень прост. Всем наплевать на безопасность, даже производителям ПО для повышения безопасности. Например, как я выяснил некоторое время назад, Kaspersky Anti-Virus как правило проверяет не все объекты в дистрибутивах. На вопрос, почему так, техподдержка так и не смогла ответить (я так понял, что они и сами не знают) и эта проблема на данный момент так и не устранена. Продукт под Android работает так же.

Оставить мнение