Специалисты компании CyberArk Labs опубликовали отчет, согласно которому высокие привилегии антивирусного ПО делают его более уязвимыми. В итоге защитные решения могут использоваться для атак с манипуляциями с файлами, и малварь получать повышенные права в системе.
Ошибки такого рода были обнаружены в продуктах Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender. В настоящее время все проблемы уже устранены разработчиками, а присвоенные им идентификаторы можно увидеть ниже (решения Avast и F-Secure пока ожидают присвоения CVE).
Антивирус | Уязвимости |
Kaspersky Security Center | CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 |
McAfee Endpoint Security и McAfee Total Protection | CVE-2020-7250, CVE-2020-7310 |
Symantec Norton Power Eraser | CVE-2019-1954 |
Fortinet FortiClient | CVE-2020-9290 |
Check Point ZoneAlarm и Check Point Endpoint Security | CVE-2019-8452 |
Trend Micro HouseCall for Home Networks | CVE-2019-19688, CVE-2019-19689 и еще три проблемы, пока без идентификаторов CVE |
Avira | CVE-2020-13903 |
Microsoft Defender | CVE-2019-1161 |
Главным из обнаруженных в антивирусах недостатков исследователи называют возможность удалять файлы из произвольных мест, что позволяет злоумышленнику стереть любой файл в системе. Также отмечается похожая уязвимость, связанная с повреждением файлов, которая позволяет удалить содержимое любого файла в системе.
Согласно отчету, проблемы в основном возникают из-за дефолтных списков DACL (Discretionary Access Control Lists) для папки C:\ProgramData в Windows, которая используется приложениями для хранения данных пользователей без дополнительных разрешений. Так как каждый пользователь имеет права на запись и удаление на базовом уровне каталога, растет вероятность злоупотребления повышением привилегий, когда непривилегированный процесс создает новую папку в ProgramData, к которой впоследствии может получить доступ привилегированный процесс.
Было замечено, что когда два разных процесса (один привилегированный, а другой запущенный от лица аутентифицированного локального пользователя) совместно используют один и тот же лог-файл, злоумышленник может использовать привилегированный процесс для удаления файла и создания символической ссылки, которая будет указывать на произвольный файл с вредоносным содержимым.
Также аналитики CyberArk Labs изучили возможность создания новой папки в C:\ProgramData перед выполнением привилегированного процесса. В частности, они обнаружили, что процесс установки антивируса McAfee запускается после создания папки McAfee, и в это время стандартный пользователь имеет полный контроль над каталогом, может получить повышенные привилегии и выполнить атаку с использованием символической ссылки.
Кроме того, исследователи сообщают, что продукты Trend Micro, Fortinet и так далее могли использоваться для помещения вредоносного DLL-файла в каталог приложения и последующего повышения привилегий.