0724.236.133 / 0725.541.835 Str. CPT. CONSTANTIN MERIŞESCU Nr.39D, SECTOR 2 BUCURESTI

O defectiune antivirus raspandita pe scara larga a lasat utilizatorii vulnerabili

Nov
29
2017

O vulnerabilitate in software-ul antivirus care permite unui atacator sa puna in carantina un cod malitios si apoi sa il transfere in orice locatie doreste pe masina victimei a fost dezvaluita de cercetatorul austriac de securitate Florian Bogner.

Defectiunea, denumita “AVGater” de catre Bogner a afectat initial mai mult de o duzina de programe antivirus obisnuite, desi alte sapte aplicatii antivirus inca nedezvaluite sufera de aceasta problema, a declarat acesta. Companiile care deja si-au remediat software-ul sunt: Emisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro si ZoneAlarm.

Pe scurt, un atacator va trebui sa profite in mod deliberat de protectia antivirus care pune automat in carantina fisierele care par malitioase si apoi sa foloseasca vulnerabilitatea pentru a muta fisierul intr-o locatie mai periculoasa, cum ar fi root (C:) drive.

“AVGater poate fi folosit pentru a restabili un fisier anterior pus in carantina pe orice locatie arbitrara a sistemului de fisiere. Acest lucru este posibil deoarece procesul de restaurare este cel mai adesea realizat de serviciul user mode privilegiat AV Windows. Prin urmare ACL-urile (Access Control Lists) file system pot fi eludate (deoarece acestea din urma nu conteaza efectiv pentru utilizatorul SYSTEM). Acest tip de problema se numeste vulnerabilitate privileged file write si poate fi folosita pentru a plasa un DLL rau intentionat oriunde in sistem”, a explicat Bogner.

Rezultatul final al declansarii acestor vulnerabilitati este controlul deplin al unui sistem pentru un atacator local non-admin.

In timp ce alte companii AV lucreaza inca la un remediu pentru potentiala vulnerabilitate, este probabil cel mai bine pentru orice administrator de retea sa se asigure ca utilizatorii obisnuiti nu pot restaura fisiere identificate ca amenintari.

© Net-Conect.ro