Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в ряде антивирусов позволяет вредоносному ПО укорениться в системе

Уязвимость в ряде антивирусов позволяет вредоносному ПО укорениться в системе

Уязвимость в ряде антивирусов позволяет вредоносному ПО укорениться в системе


13.11.2017



В ряде антивирусных продуктов обнаружена уязвимость, позволяющая вредоносному ПО или локальному атакующему с помощью функции восстановления из карантина переместить обнаруженное антивирусом вредоносное ПО в чувствительную часть операционной системы. Таким образом вредонос может повысить свои привилегии и получить персистентность.

 Проблема, получившая название AVGater, была обнаружена ИБ-экспертом австрийской компании Kapsch Флорианом Богнером (Florian Bogner). Исследователь в частном порядке предупредил производителей об уязвимости в их продуктах, и когда некоторые из них выпустили исправление, опубликовал свое исследование в Сети.

 В список затронутых проблемой вошли продукты Trend Micro, Emsisoft, "Лаборатории Касперского", Malwarebytes, Ikarus и Zone Alarm от Check Point. Для них уже были выпущены исправления. Остальные неназванные вендоры предоставят патчи в ближайшие дни.

 Для того чтобы объяснить принцип действия уязвимости, Богнер пошагово расписал сценарий атаки с ее эксплуатацией.

Шаг 1 – вредоносное ПО инфицирует систему пользователя.

 Шаг 2 – Антивирусное решение детектирует вредоносное ПО.

 Шаг 3 – Антивирусное решение отправляет вредоносное ПО в карантин.

 Шаг 4 – Локальный атакующий без прав администратора запускает на уязвимой системе эксплоит, использующий точки соединения NTFS для перемещения вредоноса из карантина.

 Шаг 5 – Атакующий начинает операцию восстановления из карантина.

 Шаг 6 – Инфицированный файл возвращается обратно в свое изначальное местоположение, однако точка соединения NTFS перенаправляет его в чувствительную папку в C:Windows. Пользователь без прав администратора не может копировать файлы оттуда, однако антивирусные продукты работают с системными привилегиями, а значит, отправленный в папку файл не вызовет никаких сообщений об ошибке или уведомлений безопасности.

 Шаг 7 – Поскольку некоторые службы Windows или процессы ядра загружают/запускают все DLL, хранящиеся в определенных директориях Windows, при следующей перезагрузке компьютера восстановленный из карантина файл запустится как часть службы ОС или приложение из белого списка.

 Богнер также опубликовал PoC-эксплоиты для продуктов Emsisoft и Malwarebytes .

 

Securitylab

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"