Безкоштовний антивірус Bitdefender дозволяв зловмиснику підвищити свої привілеї до рівня системи

Bitdefender виправив у безкоштовній версії свого антивірусного рішення небезпечну вразливість, яка дозволяла зловмиснику підвищити свої привілеї до рівня системи.

Уразливості підвищення привілеїв зазвичай використовуються на завершальних етапах кібератаки, коли атакуючий вже отримав доступ до системи і повинен підвищити свої привілеї для збереження персистентності або виконання коду.

Вразливість (CVE-2019-15295) існує через відсутність верифікації підпису та джерела завантажуваного коду. Як пояснив фахівець компанії SafeBreach Labs, сервіс безпеки Bitdefender (vsserv.exe) та сервіс оновлення (updatesrv.exe) розпочинали процес підпису з привілеями системи. Однак вони намагалися завантажити відсутній файл DLL (RestartWatchDog.dll) з різних локацій змінного середовища PATH.

Однією з локацій була 'c:/python27' зі списком керування доступом (ACL), відкритим для будь-якого авторизованого користувача. Завдяки цьому атакуючий з привілеями користувача міг записати відсутній файл DLL та завантажити його у процес підпису Bitdefender.

Фахівець проексплуатував вразливість за допомогою непідписаного файлу DLL, який записав у текстовий файл назву процесу, що завантажує його, ім'я виконавця його користувача та ім'я файлу DLL. Корінь проблеми полягав у бібліотеці ServiceInstance.dll, яка намагалася завантажити відсутній файл DLL.

Оновлення для безкоштовної версії Bitdefender Antivirus Free 2020 вийшло 21 серпня і буде встановлено автоматично.

Інші новини