Noi vulnerabilități de securitate identificate în programele antivirus
Cercetătorii din domeniul securității cibernetice de la CyberArk au publicat recent un raport în care au dezvăluit informații și detalii despre o serie de vulnerabilități de securitate identificate în soluții de antivirus populare care ar putea permite escaladarea privilegiilor în sistemul afectat prin atacuri de manipulare a fișierelor.
Vulnerabilitățile depistate afectează o gamă largă de soluții de antivirus, printre acestea, cele mai importante vulnerabilități sunt de ex: CVE-2020-25043 care poate permite ștergerea arbitrară a fișierelor din sistem, CVE-2020-25045 – vulnerabilă la atacuri de tip DLL Hijacking ce poate permite escaladarea privilegiilor în sistem, CVE-2020-7310 - poate permite utilizatorilor locali să modifice fișierele prin manipularea soft link-urilor pentru a redirecționa operațiunile unui fișier către un fișier neintenționat.
Toate vulnerabilitățile identificate recent ( fiecare dintre acestea fiind remediată de către furnizorul respectiv) asociate soluțiilor de antivirus afectate pot fi vizualizate în tabelul următor.
|
Soluția de Antivirus |
Vulnerabilitatea |
|
Kaspersky Security Center |
CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 |
|
McAfee Endpoint Security, McAfee Total Protection |
CVE-2020-7250, CVE-2020-7310 |
|
Symantec Norton Power Eraser |
CVE-2019-1954 |
|
Fortinet FortiClient |
CVE-2020-9290 |
|
Check Point ZoneAlarm, Check Point Endpoint Security |
CVE-2019-8452 |
|
Trend Micro HouseCall for Home Networks |
CVE-2019-19688, CVE-2019-19689 și alte 3 vulnerabilități neatribuite |
|
Avira |
CVE-2020-13903 |
|
Microsoft Defender |
CVE-2019-1161 |
De asemenea, potrivit CyberArk, cauza principală a acestor vulnerabilități vizează DACL-urile ( prescurtare pentru Discretionary Access Control Lists) implicite ale directorului C:\ ProgramData. În Windows, directorul ProgramData este utilizat de aplicații pentru a stoca date despre utilizatorii standard fără a necesita permisiuni suplimentare. Având în vedere faptul că fiecare utilizator are atât permisiunea de scriere, cât și de ștergere la nivelul de bază al directorului, aceasta presupune că fiecare utilizator poate crea noi fișiere sau directoare cu control deplin asupra resurselor respective. Acest lucru crește probabilitatea unei escaladări de privilegii în cazul în care un proces neprivilegiat creează un director în ProgramData care va fi folosit ulterior de către un proces privilegiat.
Raportul tehnic complet cu privire la vulnerabilitățile depistate, precum și metodele de remediere ale acestora poate fi accesat aici.
