Οι ειδικοί ασφαλείας του SafeBreach Labs ανακάλυψαν αδυναμίες στα antivirus Avast, AVG και Avira που θα μπορούσαν να εκμεταλλευτούν hackers για να φορτώσουν ένα κακόβουλο αρχείο DLL για να παρακάμψουν τις άμυνες και να αυξήσουν τα προνόμια.
Ένα τρωτό σημείο σε όλες τις εκδόσεις του Avast Antivirus και του AVG Antivirus, που ανιχνεύεται ως CVE-2019-17093, θα μπορούσε να εκμεταλλευτεί ένας hacker με διοικητικά προνόμια για να παρακάμψει την άμυνα της ασφάλειας, να κλιμακώσει τα προνόμια και να εισβάλει, αναφέρει η ανάλυση που δημοσίευσε το SafeBreach Labs. “Ειδικότερα, θα δείξουμε ότι ήταν δυνατή η φόρτωση ενός αυθαίρετου μη υπογεγραμμένου DLL σε πολλαπλές διαδικασίες που εκτελούνται ως NT AUTHORITYSYSTEM, ακόμη και με τη χρήση Protected Process Light (PPL). ”
Ο hacker θα μπορούσε να ενεργοποιήσει το ζήτημα για να φορτώσει ένα κακόβουλο DLL που δεν είναι υπογεγραμμένο σε πολλές διεργασίες που εκτελούνται ως NT AUTHORITYSYSTEM.
Οι εμπειρογνώμονες ανακάλυψαν ότι η διαδικασία AVGSvc.exe, ένα AM-PPL που προστατεύεται από ελαττώματα, λειτουργεί ως υπογεγραμμένη διαδικασία και ως NT AUTHORITYSYSTEM, και προσπαθεί να φορτώσει το wbemcomn.dll στην αρχή από το φάκελο C: WindowsSystem32wbemwbemcomn. dll. Οι ειδικοί επεσήμαναν ότι η βιβλιοθήκη δεν βρίσκεται στον παραπάνω φάκελο, αλλά αποθηκεύεται στο φάκελο System32.
Το Antivirus εφαρμόζει έναν μηχανισμό αυτοάμυνας που εμποδίζει τον κακόβουλο κώδικα να γράφει και να εμφυτεύει ένα DLL στους φακέλους του.
Ο μηχανισμός αυτοάμυνας παρακάμπτεται γράφοντας ένα αρχείο DLL σε ένα μη προστατευμένο φάκελο από τον οποίο φορτώνεται η εφαρμογή.
“Εάν μπορέσουμε να εμφυτεύσουμε ένα μη υπογεγραμμένο DLL σε ένα μη προστατευμένο φάκελο, αυτό μπορεί να οδηγήσει σε παράκαμψη αυτοάμυνας”, συνεχίζει ο εμπειρογνώμονας.
“Η φόρτωση του κώδικα που δεν έχει υπογραφεί σε ένα AM-PPL γενικά δεν επιτρέπεται, λόγω του μηχανισμού ακεραιότητας κώδικα. Οποιαδήποτε DLL που δεν είναι Windows που φορτώνεται στην προστατευμένη διαδικασία πρέπει να είναι υπογεγραμμένο με το κατάλληλο πιστοποιητικό.
Οι εμπειρογνώμονες του SafeBreach Labs συνδύασαν ένα μη υπογεγραμμένο proxy DLL από το αρχικό αρχείο wbemcomn.dll και στη συνέχεια τοποθέτησαν το DLL στο C: Program FilesSystem32, επιτρέποντάς του να το φορτώσει με δικαιώματα SYSTEM.
Η ευπάθεια επηρεάζει όλες τις εκδόσεις του Avast Antivirus και του AVG Antivirus κάτω από την έκδοση 19.8. Η AVG είναι θυγατρική της Avast, και η εταιρεία κυκλοφόρησε ενημερώσεις ασφαλείας για να αντιμετωπίσει το ελάττωμα στις 26 Σεπτεμβρίου.
Οι ειδικοί ανακάλυψαν παρόμοια ευπάθεια στο Avira Antivirus 2019 που ανιχνεύτηκε ως CVE-2019-17449.
“Η ευπάθεια CVE-2019-17449 θα μπορούσε να χρησιμοποιηθεί για να επιτύχει την άμβλυνση της υπεράσπισης, της εμμονής και της κλιμάκωσης προνομίων φορτώνοντας ένα αυθαίρετο μη υπογεγραμμένο DLL σε πολλαπλές υπογεγραμμένες διαδικασίες που λειτουργούν ως NT AUTHORITYSYSTEM”, αναφέρει η ανάλυση που δημοσίευσαν οι εμπειρογνώμονες.
“Για να εκμεταλλευτεί αυτή την ευπάθεια, ο επιτιθέμενος πρέπει να έχει δικαιώματα διαχειριστή.”
Οι ειδικοί στόχευαν την υπηρεσία Avira Launcher, υπηρεσία Avira ServiceHost. Οι ερευνητές ήταν σε θέση να εκτελέσουν κώδικα μέσα στο Avira.ServiceHost.exe αποθηκεύοντας ένα ειδικά σχεδιασμένο DLL. Το ίδιο ζήτημα επηρεάζει τις διαδικασίες Avira Speedup, Avira Software Updater και Avira Optimizer.
“Δεν υπάρχει επικύρωση ψηφιακού πιστοποιητικού κατά αυτού του συγκεκριμένου δυαδικού. Το πρόγραμμα επικυρώνει εάν τα διαφορετικά αρχεία DLL που φορτώνουν υπογράφονται, αλλά όταν εισάγει τη βιβλιοθήκη Wintrust.dll, δεν την επικυρώνει (επειδή βασίζεται στη συνάρτηση WinVerifyTrust που βρίσκεται μέσα στο DLL και δεν έχει φορτωθεί ακόμα) . Ως εκ τούτου, μπορεί να φορτώσει ένα αυθαίρετο μη υπογεγραμμένο DLL, συνεχίζει στην ανάλυση.
“Το AV δεν έχει αυτοπροστασία για το φάκελο Launcher. Όπως ανέφερα προηγουμένως, διάφορα AVs προστατεύουν τους δικούς τους φακέλους από αυτό το είδος επίθεσης χρησιμοποιώντας ένα μίνι οδηγό που περιορίζει οποιαδήποτε αλλαγή στον κατάλογο του AV. “
