События

Уязвимость в антивирусах позволяет вредоносному ПО добиться персистентности на системе

В ряде антивирусных продуктов обнаружена уязвимость, позволяющая вредоносному ПО или локальному атакующему с помощью функции восстановления из карантина переместить обнаруженное антивирусом вредоносное ПО в чувствительную часть операционной системы. Таким образом вредонос может повысить свои привилегии и получить персистентность.

Проблема, получившая название AVGater, была обнаружена ИБ-экспертом австрийской компании Kapsch Флорианом Богнером (Florian Bogner). Исследователь в частном порядке предупредил производителей об уязвимости в их продуктах, и когда некоторые из них выпустили исправление, опубликовал свое исследование в Сети.

В список затронутых проблемой вошли продукты Trend Micro, Emsisoft, «Лаборатории Касперского», Malwarebytes, Ikarus и Zone Alarm от Check Point. Для них уже были выпущены исправления. Остальные неназванные вендоры предоставят патчи в ближайшие дни.

Для того чтобы объяснить принцип действия уязвимости, Богнер пошагово расписал сценарий атаки с ее эксплуатацией.

Шаг 1 – вредоносное ПО инфицирует систему пользователя.

Шаг 2 – Антивирусное решение детектирует вредоносное ПО.

Шаг 3 – Антивирусное решение отправляет вредоносное ПО в карантин.

Шаг 4 – Локальный атакующий без прав администратора запускает на уязвимой системе эксплоит, использующий точки соединения NTFS для перемещения вредоноса из карантина.

Шаг 5 – Атакующий начинает операцию восстановления из карантина.

Шаг 6 – Инфицированный файл возвращается обратно в свое изначальное местоположение, однако точка соединения NTFS перенаправляет его в чувствительную папку в C:Windows. Пользователь без прав администратора не может копировать файлы оттуда, однако антивирусные продукты работают с системными привилегиями, а значит, отправленный в папку файл не вызовет никаких сообщений об ошибке или уведомлений безопасности.

Шаг 7 – Поскольку некоторые службы Windows или процессы ядра загружают/запускают все DLL, хранящиеся в определенных директориях Windows, при следующей перезагрузке компьютера восстановленный из карантина файл запустится как часть службы ОС или приложение из белого списка.

Богнер также опубликовал PoC-эксплоиты для продуктов Emsisoft и Malwarebytes .

Источник

Автор: Сергей Куприянов
11.11.2017 (14:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.