С помощью бесплатных антивирусов Avast, AVG и Avira можно взломать Windows

С помощью бесплатных антивирусов Avast, AVG и Avira можно взломать Windows

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

Выявленные проблемы в бесплатных антивирусах обеспечивают злоумышленникам возможность подгрузки произвольных DLL-файлов. Для эксплуатации, однако, потребуются администраторские полномочия.

В бесплатных антивирусах Avast, AVG и Avira выявлены серьезные уязвимости, позволяющие злоумышленнику посредством загрузки вредоносного DLL-файла повышать свои привилегии в системе.

Эксперты компании SafeBreach Labs обнаружили, что во всех версиях Avast Antivirus и AVG Antivirus присутствует одна и та же уязвимость, благодаря которой потенциальный злоумышленник может обходить всю защиту системы, правда, при условии, что у атакующего уже есть административные права.

По данным экспертов SafeBreach, уязвимость позволяет загружать произвольную, неподписанную библиотеку DLL в процессы, запускаемые как NTAuthoritySystem, то есть с высшими возможными привилегиями. Даже те из процессов, которые используют Protected Process Light, оказываются уязвимы.

В частности, процесс самого антивируса — AVGSvc.exe, максимально защищенный и обладающий высшими (системными) привилегиями, пытается при запуске загружать библиотеку wbemcomn.dll с путем C:WindowsSystem32wbemwbemcomn.dll, хотя в реальности этот файл находится в самом каталоге System32, а не в субкаталоге wbem.

В то время как у антивируса AVG есть защитный механизм, предотвращающий запись вредоносных DLL в его папки, этот механизм можно обойти, записав DLL в незащищенный каталог, из которого приложение загружает другие компоненты

Эксперт SafeBreach скомпилировали неподписанный DLL из оригинального wbemcomn.dll и записали новый файл в C:ProgramFilesSystem32. Антивирус загрузил его с привилегиями уровня System.

Уязвимость затрагивает все варианты Avast Antivirus и AVG Antivirus до версии 19.8. AVG является дочерним предприятием Avast, и оба антивируса как минимум частично используют один и тот же программный код.

Уязвимость, получившая индекс CVE-2019-17093, была устранена 26 сентября 2019 г.

Еще один баг был выявлен в Avira Antivirus 2019. Он также позволяет обходить защиту антивируса, заодно обеспечивая вредоносному коду злоумышленников постоянное присутствие в системе и повышение привилегий: неподписанный DLL можно загрузить сразу в несколько процессов, запущенных от NTAuthoritySystem. Но, как и в первом случае, потребуются административные права.

Как выяснили эксперты, служба Avira ServiceHost пытается загрузить DLL-библиотеку из неправильного источника (точнее, не из того каталога, который следует). Для эксплуатации уязвимости достаточно будет «подсунуть» в этот каталог нужную DLL.

Та же проблема затрагивает процессы Avira System Speedup, Avira Software Updater и Avira Optimizer Host.

По мнению экспертов, источником проблемы является отсутствие надлежащей проверки цифровых сертификатов (подписей) для некоторых DLL, в частности, библиотеки Wintrust.dll. Валидация не происходит потому, что за нее должна отвечать функция WinVerifyTrust, но она-то как раз в этой библиотеке и находится, а следовательно, еще не может быть запущена. Таким образом, появляется возможность загрузки произвольной DLL вместо нужного файла.

Кроме того, у антивируса нет (точнее, ввиду внесенных исправлений) не предусматривалось адекватной защиты для основного каталога, в котором располагаются исполняемые файлы антивируса.

Проблема была устранена 18 сентября 2019 г.

«Пользователи ожидают от антивирусов защиты, а не проблем, даже от бесплатных, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, антивирусы пишут отнюдь не боги, и ошибки случаются у всех. Вопрос в том, насколько адекватно производится тестирование разработки перед ее выпуском. В данном случае, похоже, необходимое тестирование произвели postfactum сторонние исследователи».

На CNews FORUM солидные люди расскажут, как выстроить информационную безопасность в современную эпоху

Google создает ИТ-решение, которое «стучит» руководству о сходках сотрудников

В Сети продается биометрия и данные о кредитах клиентов Сбербанка

Подарок разведчикам: в интернете нашли подробности о личной жизни и командировках американских офицеров

Работник российской больницы нечаянно взломал сайт правительства

За счет биометрии россияне смогут пересечь госграницу, не показывая паспорт пограничнику

Рынок средств управления мультиоблачными и гибридными моделями стремительно растет.

Сети 6G, как ожидают аналитики, начнут появляться уже через пять-десять лет.

С конца 2018 г. во многих странах ведутся исследования в области связи мобильной связи следующего поколения.

Сергей Щербинин

CDTO Уральского банка реконструкции и развития

Рейтинги CNews

Крупнейшие телекоммуникационные компании России Крупнейшие поставщики ИТ в телеком

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе