Fejl i populære antivirusprodukter

Antivirusprodukters privilegier kan udnyttes i snedig manøvre.

Forskere har afdækket detaljer om sårbarheder i populære antivirusløsninger, som gør det muligt for angribere at opnå rettigheder i systemer, som antivirusprodukterne egentlig skal beskytte.

Det er The Hacker News, der bringer historien, som er en baseret på en rapport udarbejdet af CyberArk Labs. Princippet er, at de høje privilegier, der ofte er forbundet med anti-malware-produkter, gør produkterne mere sårbare over for udnyttelse via såkaldte filmanipulationsangreb. Det kan resultere i et scenarie, hvor malwaren sikrer højere privilegier i systemet til hackere.

Fejlene påvirker en bred vifte af antivirusløsninger, herunder dem fra Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira og Microsoft Defender. Fejlene har CVSS-score på over 7, men er alle blevet rettet af de respektive leverandør.

Privilegeret proces udnyttes

I følge CyberArk kommer fejlene fra standard-DACL'er (Discretionary Access Control Lists) i "C: \ ProgramData" -mappen i Windows, hvor applikationer kan gemme data for standardbrugere uden yderligere privilegier. Hver bruger har både tilladelse til at skrive og slette på basisniveauet i biblioteket, og det øger sandsynligheden for, at en ikke-privilegeret proces, dvs. en standardbruger, opretter en ny mappe i "ProgramData", som senere kan tilgås ved en privilegeret proces.

Dette kan ske – som det blev observeret af CyberArk – hvis to forskellige processer - den ene privilegeret og den anden som en godkendt lokal bruger – deler den samme logfil. Det har evt., som det fremgår af The Hacker News, gjort det muligt for en hacker at udnytte den privilegerede proces til at slette filen og oprette et link, der kan pege på en ønsket vilkårlig fil med ondsindet indhold.

Som det fremgår af the Hacker News minder rapporten os om, at svagheder i software, herunder dem, der sigter mod at tilbyde virusbeskyttelse, kan være en kanal til malware. Og dermed mindes vi også om betydningen af, at virusbeskyttelse også skal opdateres ligesom al anden software.

Links:

https://thehackernews.com/2020/10/antivirus-software-vulnerabilities.html