Cercetătorii în domeniul securității cibernetice au dezvăluit la începutul săptămânii detalii despre vulnerabilitățile de securitate găsite în soluții antivirus populare, care ar putea permite atacatorilor să obțină privilegii, ajutând astfel malware-ul să își mențină poziția pe sistemele compromise.

Potrivit unui raport publicat de CyberArk Labs, privilegiile avansate asociate adesea cu produsele anti-malware le fac mai vulnerabile la exploatare prin atacuri de manipulare a fișierelor, rezultând într-un scenariu în care malware-ul obține permisiuni avansate pe sistem.

Bug-urile afectează o gamă largă de soluții antivirus, inclusiv cele de la Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira și Microsoft Defender, fiecare dintre acestea fiind remediată de către furnizorul respectiv.

Principalul defect este capacitatea de a șterge fișiere din locații arbitrare, permițând atacatorului să șteargă orice fișier din sistem, precum și o vulnerabilitate de corupere a fișierelor care permite unui actor rău intenționat să elimine conținutul oricărui fișier din sistem.

Conform CyberArk, erorile rezultă din DACL-uri implicite (prescurtare pentru Discretionary Access Control Lists) pentru folderul „C:\ProgramData” din Windows, în care sunt alocate foldere individuale aplicațiilor pentru a stoca date pentru utilizatorii standard fără a necesita permisiuni suplimentare.

Sursa: CyberArk

Având în vedere că fiecare utilizator are atât permisiunea de scriere, cât și de ștergere la nivelul de bază al directorului, crește probabilitatea unei escaladări de privilegii atunci când un proces fără privilegii creează un folder nou în „ProgramData” care ar putea fi accesat ulterior printr-un proces privilegiat.

Într-un caz, s-a observat că două procese diferite – unul privilegiat și celălalt rulat ca utilizator local autentificat – au partajat același fișier jurnal, permițând potențial unui atacator să exploateze procesul privilegiat pentru a șterge fișierul și a crea o legătură simbolică care ar indicați spre orice fișier arbitrar dorit cu conținut rău intenționat.

Ulterior, cercetătorii CyberArk au explorat, de asemenea, posibilitatea de a crea un folder nou în „C:\ProgramData” înainte ca un proces privilegiat să fie executat.

Procedând astfel, au descoperit că atunci când programul de instalare al antivirusului McAfee este executat după crearea folderului „McAfee”, utilizatorul standard are control deplin asupra directorului, permițând utilizatorului local să obțină permisiuni ridicate prin efectuarea unui atac de tip symlink.

În plus, o eroare de deturnare a DLL în Trend Micro, Fortinet și alte soluții antivirus ar fi putut fi exploatată de un atacator pentru a plasa un fișier DLL cu conținut rău intenționat în directorul aplicației și pentru a ridica privilegii.

Cerând ca listele de control al accesului să fie restrictive pentru a preveni vulnerabilitățile de ștergere arbitrare, CyberArk a subliniat necesitatea actualizării cadrelor de instalare pentru a atenua atacurile de deturnare DLL.

Deși aceste probleme ar fi putut fi soluționate, raportul ne amintește că punctele slabe ale software-ului, inclusiv al celui care urmărește să ofere protecție antivirus, pot fi un canal pentru malware.

„Implicațiile acestor erori sunt adesea escaladarea deplină a privilegiilor sistemului local”, au spus cercetătorii CyberArk. „Datorită nivelului ridicat de privilegii al produselor de securitate, o eroare în acestea ar putea ajuta malware-ul să își mențină punctul de sprijin și să provoace mai multe daune organizației”, au subliniat ei.

Sursa: TheHackerNews.com