Категория > Новости > Эксперты CyberArk Labs выявили баги в популярных антивирусах - «Новости»

Эксперты CyberArk Labs выявили баги в популярных антивирусах - «Новости»


7-10-2020, 00:02. Автор: Мстислава

Специалисты компании CyberArk Labs опубликовали отчет, согласно которому высокие привилегии антивирусного ПО делают его более уязвимыми. В итоге защитные решения могут использоваться для атак с манипуляциями с файлами, и малварь получать повышенные права в системе.­


Ошибки такого рода были обнаружены в продуктах Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender. В настоящее время все проблемы уже устранены разработчиками, а присвоенные им идентификаторы можно увидеть ниже (решения Avast и F-Secure пока ожидают присвоения CVE).




















АнтивирусУязвимости
Kaspersky Security CenterCVE-2020-25043, CVE-2020-25044, CVE-2020-25045
McAfee Endpoint Security и McAfee Total ProtectionCVE-2020-7250, CVE-2020-7310
Symantec Norton Power EraserCVE-2019-1954
Fortinet FortiClientCVE-2020-9290
Check Point ZoneAlarm и Check Point Endpoint SecurityCVE-2019-8452
Trend Micro HouseCall for Home NetworksCVE-2019-19688, CVE-2019-19689 и еще три проблемы, пока без идентификаторов CVE
AviraCVE-2020-13903
Microsoft DefenderCVE-2019-1161


Главным из обнаруженных в антивирусах недостатков исследователи называют возможность удалять файлы из произвольных мест, что позволяет злоумышленнику стереть любой файл в системе. Также отмечается похожая уязвимость, связанная с повреждением файлов, которая позволяет удалить содержимое любого файла в системе.


Согласно отчету, проблемы в основном возникают из-за дефолтных списков DACL (Discretionary Access Control Lists) для папки C:ProgramData в Windows, которая используется приложениями для хранения данных пользователей без дополнительных разрешений. Так как каждый пользователь имеет права на запись и удаление на базовом уровне каталога, растет вероятность злоупотребления повышением привилегий, когда непривилегированный процесс создает новую папку в ProgramData, к которой впоследствии может получить доступ привилегированный процесс.


Было замечено, что когда два разных процесса (один привилегированный, а другой запущенный от лица аутентифицированного локального пользователя) совместно используют один и тот же лог-файл, злоумышленник может использовать привилегированный процесс для удаления файла и создания символической ссылки, которая будет указывать на произвольный файл с вредоносным содержимым.


Также аналитики CyberArk Labs изучили возможность создания новой папки в C:ProgramData перед выполнением привилегированного процесса. В частности, они обнаружили, что процесс установки антивируса McAfee запускается после создания папки McAfee, и в это время стандартный пользователь имеет полный контроль над каталогом, может получить повышенные привилегии и выполнить атаку с использованием символической ссылки.


Кроме того, исследователи сообщают, что продукты Trend Micro, Fortinet и так далее могли использоваться для помещения вредоносного DLL-файла в каталог приложения и последующего повышения привилегий.

Перейти обратно к новости