Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Уязвимость в ряде антивирусов позволяет вредоносному ПО укорениться в системе

Уязвимость в ряде антивирусов позволяет вредоносному ПО укорениться в системе


13.11.2017

Уязвимость в ряде антивирусов позволяет вредоносному ПО укорениться в системе

В ряде антивирусных продуктов обнаружена уязвимость, позволяющая вредоносному ПО или локальному атакующему с помощью функции восстановления из карантина переместить обнаруженное антивирусом вредоносное ПО в чувствительную часть операционной системы. Таким образом вредонос может повысить свои привилегии и получить персистентность.

 Проблема, получившая название AVGater, была обнаружена ИБ-экспертом австрийской компании Kapsch Флорианом Богнером (Florian Bogner). Исследователь в частном порядке предупредил производителей об уязвимости в их продуктах, и когда некоторые из них выпустили исправление, опубликовал свое исследование в Сети.

 В список затронутых проблемой вошли продукты Trend Micro, Emsisoft, "Лаборатории Касперского", Malwarebytes, Ikarus и Zone Alarm от Check Point. Для них уже были выпущены исправления. Остальные неназванные вендоры предоставят патчи в ближайшие дни.

 Для того чтобы объяснить принцип действия уязвимости, Богнер пошагово расписал сценарий атаки с ее эксплуатацией.

Шаг 1 – вредоносное ПО инфицирует систему пользователя.

 Шаг 2 – Антивирусное решение детектирует вредоносное ПО.

 Шаг 3 – Антивирусное решение отправляет вредоносное ПО в карантин.

 Шаг 4 – Локальный атакующий без прав администратора запускает на уязвимой системе эксплоит, использующий точки соединения NTFS для перемещения вредоноса из карантина.

 Шаг 5 – Атакующий начинает операцию восстановления из карантина.

 Шаг 6 – Инфицированный файл возвращается обратно в свое изначальное местоположение, однако точка соединения NTFS перенаправляет его в чувствительную папку в C:Windows. Пользователь без прав администратора не может копировать файлы оттуда, однако антивирусные продукты работают с системными привилегиями, а значит, отправленный в папку файл не вызовет никаких сообщений об ошибке или уведомлений безопасности.

 Шаг 7 – Поскольку некоторые службы Windows или процессы ядра загружают/запускают все DLL, хранящиеся в определенных директориях Windows, при следующей перезагрузке компьютера восстановленный из карантина файл запустится как часть службы ОС или приложение из белого списка.

 Богнер также опубликовал PoC-эксплоиты для продуктов Emsisoft и Malwarebytes .

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.