+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Вразливість в антивірусах дозволяє шкідливому ПЗ домогтися персистентності на системі

Проблема AVGater торкається Trend Micro, Emsisoft, Malwarebytes, Ikarus та Zone Alarm від Check Point.

У ряді антивірусних продуктів виявлено вразливість, що дозволяє шкідливому ПЗ або локальному атакуючому за допомогою функції відновлення з карантину перемістити виявлене антивірусом шкідливе ПЗ в чутливу частину операційної системи. Таким чином, шкідливість може підвищити свої привілеї та отримати персистентність.

Проблема, яка отримала назву AVGater, була виявлена ​​ІБ-експертом австрійської компанії Kapsch Флоріаном Богнером (Florian Bogner). Дослідник приватно попередив виробників про вразливість у їхніх продуктах, і коли деякі з них випустили виправлення, опублікував своє дослідження в Мережі.

До списку порушених проблемою увійшли продукти Trend Micro, Emsisoft, Malwarebytes, Ikarus та Zone Alarm від Check Point. Для них вже було випущено виправлення. Інші неназвані вендори нададуть патчі найближчими днями.

Для того, щоб пояснити принцип дії вразливості, Богнер покроково розписав сценарій атаки з її експлуатацією.

Крок 1 – шкідливе програмне забезпечення інфікує систему користувача.

Крок 2 – Антивірусне рішення детектує шкідливе ПЗ.

Крок 3 – Антивірусне рішення відправляє шкідливе ПЗ до карантину.

Крок 4 – Локальний атакуючий без прав адміністратора запускає на вразливій системі експлоїт, що використовує точки з'єднання NTFS для переміщення шкідливих даних з карантину.

Крок 5 – Атакуючий починає операцію відновлення з карантину.

Крок 6 – Інфікований файл повертається назад у своє початкове розташування, однак точка з'єднання NTFS перенаправляє його в чутливу папку в C:\Windows. Користувач без прав адміністратора не може копіювати файли звідти, проте антивірусні продукти працюють із системними привілеями, а отже, відправлений до папки файл не викличе жодних повідомлень про помилку або сповіщення безпеки.

Крок 7 – Оскільки деякі служби Windows або процеси ядра завантажують/запускають всі DLL, що зберігаються в певних директоріях Windows, при наступному перезавантаженні комп'ютера відновлений з карантину файл запуститься як частина служби ОС або програма з білого списку.

Інші новини

Найкраща ціна