Безкоштовні антивіруси Avast, AVG та Avira мають серйозні вразливості, що дозволяють зламати Windows
Безкоштовні антивіруси Avast, AVG та Avira мають серйозні вразливості, що дозволяють зламати Windows
У безкоштовних антивірусах Avast, AVG та Avira виявлено серйозні вразливості, що дозволяють зловмисникові за допомогою завантаження шкідливого DLL-файлу підвищувати свої привілеї в системі.
Експерти компанії SafeBreach Labs виявили, що у всіх версіях Avast Antivirus та AVG Antivirus є одна і та ж вразливість, завдяки якій потенційний зловмисник може обходити весь захист системи, щоправда, за умови, що у атакуючого вже є адміністративні права.
>За даними експертів SafeBreach, вразливість дозволяє завантажувати довільну, непідписану бібліотеку DLL у процеси, що запускаються як NTAuthority\System, тобто з найвищими можливими привілеями. Навіть ті з процесів, які використовують Protected Process Light, виявляються вразливими.
У зокрема, процес самого антивірусу — AVGSvc.exe, максимально захищений і що володіє вищими (системними) привілеями, намагається при запуску завантажувати бібліотеку wbemcomn.dll за допомогою C:\Windows\System32\wbem\wbemcomn.dll, хоча насправді цей файл знаходиться в самому каталозі System32, а не в субкаталозі wbem.
У той час як антивірус AVG має захисний механізм, що запобігає запису шкідливих DLL в його папки, цей механізм можна обійти, записавши DLL в незахищений каталог, з якого програма завантажує інші компоненти
Експерт SafeBreach скомпілювали непідписаний DLL з оригінального wbemcomn.dll і записали новий файл у C: ProgramFiles System32. Антивірус завантажив його із привілеями рівня System.
Уразливість зачіпає всі варіанти Avast Antivirus та AVG Antivirus до версії 19.8. AVG є дочірнім підприємством Avast, і обидва антивіруси як мінімум частково використовують той самий програмний код.
Уразливість, що отримала індекс CVE-2019-17093, була усунена 26 вересня 2019 р.
Ще один баг був виявлений в Avira Antivirus 2019. Він також дозволяє обходити захист антивірусу, заодно забезпечуючи шкідливому коду зловмисників постійну присутність в системі та підвищення привілеїв: непідписаний DLL можна завантажити відразу в кілька процесів, запущених від NTAuthority\System. Але, як і в першому випадку, будуть потрібні адміністративні права.Як з'ясували експерти, служба Avira ServiceHost намагається завантажити DLL-бібліотеку з неправильного джерела (точніше, не з каталогу, який слідує). Для експлуатації вразливості достатньо буде «підсунути» до цього каталогу потрібну DLL.
Та сама проблема стосується процесів Avira System Speedup, Avira Software Updater та Avira Optimizer Host.
На думку експертів, джерелом проблеми є відсутність належної перевірки цифрових сертифікатів (підписів) для деяких DLL, зокрема бібліотеки Wintrust.dll. Валідація не відбувається тому, що за неї повинна відповідати функція WinVerifyTrust, але вона саме в цій бібліотеці і знаходиться, а отже, ще не може бути запущена. Таким чином, з'являється можливість завантаження довільної DLL замість файлу.
Крім того, антивірус не має (точніше, через внесені виправлення) не передбачав адекватного захисту для основного каталогу, в якому розташовуються файли антивірусу, що виконуються.
Проблема була усунена 18 вересня 2019 р.
