Специалисты компании CyberArk Labs опубликовали отчет, согласно которому высокие привилегии антивирусного ПО делают его более уязвимыми. В итоге защитные решения могут использоваться для атак с манипуляциями с файлами, и малварь получать повышенные права в системе.­ Ошибки такого рода были обнаружены в продуктах Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender. В настоящее время все проблемы уже устранены разработчиками, а присвоенные им идентификаторы можно увидеть ниже (решения Avast и F-Secure пока ожидают присвоения CVE). Антивирус Уязвимости Kaspersky Security Center CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 McAfee Endpoint Security и McAfee Total Protection CVE-2020-7250, CVE-2020-7310 Symantec Norton Power Eraser CVE-2019-1954 Fortinet FortiClient CVE-2020-9290 Check Point ZoneAlarm и Check Point Endpoint Security CVE-2019-8452 Trend Micro HouseCall for Home Networks CVE-2019-19688, CVE-2019-19689 и еще три проблемы, пока без идентификаторов CVE Avira CVE-2020-13903 Microsoft Defender CVE-2019-1161 Главным из обнаруженных в антивирусах недостатков исследователи называют возможность удалять файлы из произвольных мест, что позволяет злоумышленнику стереть любой файл в системе. Также отмечается похожая уязвимость, связанная с повреждением файлов, которая позволяет удалить содержимое любого файла в системе. Согласно отчету, проблемы в основном возникают из-за дефолтных списков DACL (Discretionary Access Control Lists) для папки C:ProgramData в Windows, которая используется приложениями для хранения данных пользователей без дополнительных разрешений. Так как каждый пользователь имеет права на запись и удаление на базовом уровне каталога, растет вероятность злоупотребления повышением привилегий, когда непривилегированный процесс создает новую папку в ProgramData, к которой впоследствии может получить доступ привилегированный процесс. Было замечено, что когда два разных процесса (один привилегированный, а другой запущенный от лица аутентифицированного локального пользователя) совместно используют один и тот же лог-файл, злоумышленник может использовать привилегированный процесс для удаления файла и создания символической ссылки, которая будет указывать на произвольный файл с вредоносным содержимым. Также аналитики CyberArk Labs изучили возможность создания новой папки в C:ProgramData перед выполнением привилегированного процесса. В частности, они обнаружили, что процесс установки антивируса McAfee запускается после создания папки McAfee, и в это время стандартный пользователь имеет полный контроль над каталогом, может получить повышенные привилегии и выполнить атаку с использованием символической ссылки. Кроме того, исследователи сообщают, что продукты Trend Micro, Fortinet и так далее могли использоваться для помещения вредоносного DLL-файла в каталог приложения и последующего повышения привилегий.