fbpx
Октябрь 27, 2019 10:09 | alina |

В антивирусном программном обеспечении Avast, AVG и Avira были выявлены уязвимости, которые могут быть использованы злоумышленниками для загрузки вредоносной DLL. У кибепреступников откроется возможность для обхода функций защиты и повышения прав в системе.

По словам сотрудников SafeBreach Labs, обнаруживших эту проблему безопасности, все версии Avast Antivirus и AVG Antivirus содержат брешь, получившую идентификатор CVE-2019-17093.

«Эту уязвимость также можно использовать для укрепления вредоноса в системе. В частности, мы можем продемонстрировать, как неподписанная DLL-библиотека внедряется во множество процессов, запущенных с правами NT AUTHORITY\SYSTEM», — говорится в отчёте SafeBreach Labs.

Например, процесс AVGSvc.exe, по словам исследователей, при запуске пытается загрузить файл wbemcomn.dll из директории C:\Windows\System32\wbem\wbemcomn.dll. При этом библиотеки нет по этому пути, на самом деле она находится в папке System32.

Компонент защиты антивирусной программой своих процессов можно обойти, поместив DLL-файл в незащищенную директорию, из которой приложение пытается загрузить свои модули.

«Если мы сможем поместить неподписанную DLL в незащищенную папку, у нас получится обойти механизм самозащиты антивируса».
В результате команда SafeBreach Labs создала свой DLL-файл на базе легитимной версии wbemcomn.dll. Затем его поместили в C:\Program Files\System32\ с возможностью запуска с правами администратора.

Эксперты отметили, что брешь актуальна для всех версий Avast Antivirus, а также для AVG Antivirus ниже версии 19.8. Разработчики устранили эту проблему с выходом патча от 26 сентября 2019 года. Кроме того, специалисты выявили похожую уязвимость в Avira Antivirus 2019, получившую идентификатор CVE-2019-17449.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.