Novas falhas no software antivírus superior podem tornar os computadores mais vulneráveis

Views: 152
0 0
Read Time:2 Minute, 56 Second

Pesquisadores de cibersegurança divulgaram hoje detalhes das vulnerabilidades de segurança encontradas em soluções antivírus populares que poderiam permitir que os invasores elevem seus privilégios, ajudando assim o malware a manter sua base nos sistemas comprometidos.

De acordo com um relatório publicado hoje pela CyberArk Labs e compartilhado com o The Hacker News, os altos privilégios frequentemente associados a produtos anti-malware os tornam mais vulneráveis à exploração através de ataques de manipulação de arquivos, resultando em um cenário onde o malware ganha permissões elevadas no sistema.

Os bugs impactam uma ampla gama de soluções antivírus, incluindo as da Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira e Microsoft Defender, cada uma das quais foi corrigida pelo respectivo fornecedor.

Entre as principais falhas está a capacidade de excluir arquivos de locais arbitrários, permitindo que o invasor exclua qualquer arquivo no sistema, bem como uma vulnerabilidade de corrupção de arquivo que permite a um ator ruim eliminar o conteúdo de qualquer arquivo no sistema.

De acordo com o CyberArk, os bugs resultam de DACLs padrão (abreviação de Listas de Controle de Acesso Discricionário) para a pasta “C:\ProgramData” do Windows, que são por aplicativos para armazenar dados para usuários padrão sem exigir permissões adicionais.

Dado que cada usuário tem permissão de gravação e exclusão no nível base do diretório, ele aumenta a probabilidade de uma escalada de privilégios quando um processo não privilegiado cria uma nova pasta em “ProgramData” que poderia ser acessada posteriormente por um processo privilegiado.

AntivírusVulnerabilidade
Centro de Segurança KasperskyCVE-2020-25043, CVE-2020-25044, CVE-2020-25045
McAfee Endpoint Security e McAfee Total ProtectionCVE-2020-7250, CVE-2020-7310
Symantec Norton Power EraserCVE-2019-1954
Fortinet FortiClientCVE-2020-9290
Verifique a segurança do ponto zonealarm e check pointCVE-2019-8452
Trend Micro HouseCall para Redes DomésticasCVE-2019-19688, CVE-2019-19689, e mais três falhas não assinadas
AviraCVE-2020-13903
Microsoft DefenderCVE-2019-1161

Em um caso, observou-se que dois processos diferentes – um privilegiado e o outro executado como um usuário local autenticado – compartilhavam o mesmo arquivo de registro, potencialmente permitindo que um invasor explorasse o processo privilegiado para excluir o arquivo e criasse um link simbólico que apontasse para qualquer arquivo arbitrário desejado com conteúdo malicioso.

Posteriormente, os pesquisadores do CyberArk também exploraram a possibilidade de criar uma nova pasta em “C:\ProgramData” antes que um processo privilegiado seja executado.

Ao fazer isso, eles descobriram que quando o instalador antivírus da McAfee é executado após a criação da pasta “McAfee”, o usuário padrão tem controle total sobre o diretório, permitindo que o usuário local obtenha permissões elevadas realizando um ataque symlink.

Para completar, uma falha de sequestro de DLL no Trend Micro, Fortinet e outras soluções antivírus poderia ter sido explorada por um invasor para colocar um arquivo DLL malicioso no diretório do aplicativo e elevar privilégios.

Instando que as listas de controle de acesso devem ser restritivas para evitar vulnerabilidades arbitrárias de exclusão, a CyberArk enfatizou a necessidade de atualizar as estruturas de instalação para mitigar os ataques de sequestro de DLL.

Embora esses problemas possam ter sido resolvidos, o relatório serve como um lembrete de que as fraquezas no software, incluindo aquelas que visam oferecer proteção antivírus, podem ser um canal para malware.

“As implicações desses bugs são muitas vezes a escalada completa do sistema local”, disseram os pesquisadores da CyberArk. Devido ao alto nível de privilégio dos produtos de segurança, um erro neles pode ajudar o malware a sustentar sua base e causar mais danos à organização.”

FONTE: THE HACKER NEWS

Previous post Ttint Botnet mira vulnerabilidades de zero-day em roteadores Tenda
Next post Bradesco, Itaú e Santander saem do ar em dia de chaves Pix

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *