+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

В антивірусній програмі Avira 2019 виявлено небезпечну вразливість (CVE-2019-17449)

В антивірусній програмі Avira 2019 виявлена небезпечна вразливість (CVE-2019-17449)

В антивірусній програмі Avira 2019 виявлено небезпечну вразливість (CVE-2019-17449), експлуатація якої дозволяє обійти захист на цільовій системі, забезпечити персистентність і підвищити привілеї шляхом завантаження довільної непідписаної DLL-бібліотеки. Для експлуатації вразливості зловмисник повинен мати права адміністратора.

Експерти з компанії SafeBreach протестували службу Avira ServiceHost (служба Avira Launcher). Avira ServiceHost - підписаний процес, який запускається з правами NT AUTHORITY/SYSTEM і першим встановлюється після запуску інсталятора. За словами експертів, при запуску Avira.ServiceHost.exe намагається завантажити недостатню бібліотеку Windtrust.dll зі свого каталогу. Вразливість зачіпає версії Avira Launcher нижче 1.2.137 та версії Avira Software Updater нижче 2.0.6.21094.

Як правило, антивірусні рішення обмежують будь-які модифікації (наприклад, додавання, запис або зміна файлів) у папках за допомогою міні-фільтра, який застосовує політику «тільки для читання» до будь-якого користувача, включаючи Адміністратора. В рамках експерименту дослідники скомпілювали довільну DLL-бібліотеку, що записує в текстовий файл назву процесу, що його завантажив, ім'я користувача, який його виконав, та назву DLL-бібліотеки.

«Нам вдалося завантажити довільну DLL-бібліотеку та виконати код усередині Avira.ServiceHost.exe, який був підписаний «Avira Operations GmbH & Co. KG» та виконаний як NT AUTHORITY/SYSTEM», — зазначають експерти.

Подібні дії дослідникам вдалося провести і з іншими службами Avira (System Speedup, Software Updater та Optimizer Host).

Експерти виявили три типи атак, можливих під час експлуатації даної вразливості: обхід захисту антивірусного ПЗ; завантаження та виконання шкідливого корисного навантаження у контексті підписаного процесу Avira; забезпечення персистентності на системі.

Дослідники повідомили компанію про вразливість у липні нинішнього року. У вересні Avira випустила виправлену версію Launcher (1.2.137).

Інші новини