Os investigadores de segurança da CyberARK descobriram bugs de segurança em antivirus que permite que os invasores escalem privilégios numa máquina com o software vulnerável instalado.
Vulnerabilidades em aplicações de antivirus apresentam riscos elevados, pois executam no sistema com altos privilégios e permitem que os invasores executem malware com privilégios elevados (SYSTEM).
De acordo com os investigadores, a principal causa da falha são as DACLs padrão do diretório C:\ProgramData, usado pelo AV para armazenar dados.
“So, if a non-privileged process created a directory in ProgramData that would be later used by a privileged process, we might have a security issue on our hands,” reads the blog post.
Os investigadores analisaram o AV Avira, que usa dois processos (sem privilégios e com privilégios) que gravam dados no mesmo ficheiro de log.
Um invasor pode explorar o processo privilegiado eliminando o ficheiro e posteriormente criar um link simbólico que aponta para qualquer ficheiro arbitrário no sistema com conteúdo malicioso.
Além disso, os investigadores analisaram o antivírus McAfee que cria a pasta “McAfee”, sob o controle do utilizador padrão, mas o utilizador local pode obter permissões elevadas por meio de um ataque de link simbólico.
“the implications of these bugs are often full privilege escalation of the local system. Due to the high privilege level of security products, an error in them could help malware to sustain its foothold and cause more damage to the organization.”
As seguintes vulnerabilidades foram identificadas, nomeadamente:
- Kaspersky CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
- McAfee CVE-2020-7250, CVE-2020-7310
- Symantec CVE-2019-19548
- Fortinet CVE-2020-9290
- Checkpoint CVE-2019-8452
- Trend Micro CVE-2019-19688, CVE-2019-19689 +3
- Avira – CVE-2020-13903
- Microsoft-CVE-2019-1161
- Avast + F-Secure – Waiting for Mitre