Эксперты выявили дыры во многих антивирусах (Kaspersky, Avira, Symantec)

Discussion in 'Мировые новости. Обсуждения.' started by faust278, 6 Oct 2020.

  1. faust278

    faust278 Member

    Joined:
    25 May 2020
    Messages:
    22
    Likes Received:
    18
    Reputations:
    0
    [​IMG]
    Исследователи в области безопасности из CyberArk Labs выявили уязвимости в популярных антивирусных продуктах. В случае успешной эксплуатации эти бреши позволяют атакующим повысить права в системе. Поскольку антивирусы работают с повышенными привилегиями, изъяны в их коде могут быть особенно опасными. Вредоносные программы, эксплуатирующие такие дыры, способны не только обойти защитные решения, но и прочно укрепиться в атакуемой системе.
    По словам экспертов CyberArk Labs, множество популярных антивирусов можно использовать в атаках с помощью техники манипуляции файлами. Среди затронутых продуктов исследователи отметили антивирусы от Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender.
    К счастью, на сегодняшний день разработчики уже избавились от опасных лазеек для злоумышленников, однако всё равно полезно будет узнать, с чем мы имели дело.
    Как объяснили специалисты, основной причиной являются права по умолчанию директории C:\ProgramData. Эту папку приложения используют для хранения данных, при этом любой пользователь в системе может читать и записывать в этот каталог.
    «Логично, что процессы и службы, не привязанные к конкретному пользователю, будут использовать директорию ProgramData. Именно поэтому права на неё настроены таким образом, что любой пользователь может читать и записывать туда, но здесь же есть и брешь — атакующий может удалить определённые файлы из таких папок», — пишут в отчёте эксперты.
    Таким образом, злоумышленник может использовать привилегированный процесс для удаления файла и создания символической ссылки на другой произвольный вредоносный файл.
    Также исследователи сообщили об уязвимости перехвата DLL в антивирусных продуктах Trend Micro и Fortinet. В этом случае атакующий может «подсунуть» вредоносную DLL в директорию нужного приложения и выполнить её с повышенными правами.
    Полный список выявленных проблем безопасности выглядит так:​
    • Kaspersky — CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
    • McAfee — CVE-2020-7250, CVE-2020-7310
    • Symantec — CVE-2019-19548
    • Fortinet — CVE-2020-9290
    • Checkpoint — CVE-2019-8452
    • Trend Micro — CVE-2019-19688, CVE-2019-19689 +3
    • Avira — CVE-2020-13903
    • Microsoft — CVE-2019-1161
    https://www.anti-malware.ru/news/2020-10-06-111332/33873
     
    user100 and Suicide like this.
Loading...