В ряде антивирусных продуктов обнаружена уязвимость, позволяющая вредоносному ПО или локальному атакующему с помощью функции восстановления из карантина переместить обнаруженное антивирусом вредоносное ПО в чувствительную часть операционной системы. Таким образом вредонос может повысить свои привилегии и получить персистентность.

Проблема, получившая название AVGater, была обнаружена ИБ-экспертом австрийской компании Kapsch Флорианом Богнером (Florian Bogner). Исследователь в частном порядке предупредил производителей об уязвимости в их продуктах, и когда некоторые из них выпустили исправление, опубликовал свое исследование в Сети.

В список затронутых проблемой вошли продукты Trend Micro, Emsisoft, Malwarebytes, Ikarus и Zone Alarm от Check Point. Для них уже были выпущены исправления. Остальные неназванные вендоры предоставят патчи в ближайшие дни.

Для того чтобы объяснить принцип действия уязвимости, Богнер пошагово расписал сценарий атаки с ее эксплуатацией.

Шаг 1 – вредоносное ПО инфицирует систему пользователя.

Шаг 2 – Антивирусное решение детектирует вредоносное ПО.

Шаг 3 – Антивирусное решение отправляет вредоносное ПО в карантин.

Шаг 4 – Локальный атакующий без прав администратора запускает на уязвимой системе эксплоит, использующий точки соединения NTFS для перемещения вредоноса из карантина.

Шаг 5 – Атакующий начинает операцию восстановления из карантина.

Шаг 6 – Инфицированный файл возвращается обратно в свое изначальное местоположение, однако точка соединения NTFS перенаправляет его в чувствительную папку в C:\Windows. Пользователь без прав администратора не может копировать файлы оттуда, однако антивирусные продукты работают с системными привилегиями, а значит, отправленный в папку файл не вызовет никаких сообщений об ошибке или уведомлений безопасности.

Шаг 7 – Поскольку некоторые службы Windows или процессы ядра загружают/запускают все DLL, хранящиеся в определенных директориях Windows, при следующей перезагрузке компьютера восстановленный из карантина файл запустится как часть службы ОС или приложение из белого списка.