Os investigadores de segurança da CyberARK descobriram bugs de segurança em antivirus que permite que os invasores escalem privilégios numa máquina com o software vulnerável instalado.
Vulnerabilidades em aplicações de antivirus apresentam riscos elevados, pois executam no sistema com altos privilégios e permitem que os invasores executem malware com privilégios elevados (SYSTEM).
De acordo com os investigadores, a principal causa da falha são as DACLs padrão do diretório C:\ProgramData, usado pelo AV para armazenar dados.
“So, if a non-privileged process created a directory in ProgramData that would be later used by a privileged process, we might have a security issue on our hands,” reads the blog post.
Os investigadores analisaram o AV Avira, que usa dois processos (sem privilégios e com privilégios) que gravam dados no mesmo ficheiro de log.
Um invasor pode explorar o processo privilegiado eliminando o ficheiro e posteriormente criar um link simbólico que aponta para qualquer ficheiro arbitrário no sistema com conteúdo malicioso.
Além disso, os investigadores analisaram o antivírus McAfee que cria a pasta “McAfee”, sob o controle do utilizador padrão, mas o utilizador local pode obter permissões elevadas por meio de um ataque de link simbólico.
“the implications of these bugs are often full privilege escalation of the local system. Due to the high privilege level of security products, an error in them could help malware to sustain its foothold and cause more damage to the organization.”
As seguintes vulnerabilidades foram identificadas, nomeadamente:
- Kaspersky CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
- McAfee CVE-2020-7250, CVE-2020-7310
- Symantec CVE-2019-19548
- Fortinet CVE-2020-9290
- Checkpoint CVE-2019-8452
- Trend Micro CVE-2019-19688, CVE-2019-19689 +3
- Avira – CVE-2020-13903
- Microsoft-CVE-2019-1161
- Avast + F-Secure – Waiting for Mitre
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.