Несколько антивирусных решений из-за ошибки проектирования движка оказались подвержены уязвимости, которая позволяет вредоносным программам или локальными злоумышленникам получать доступ к функции “восстановление из карантина” с целью размещения ранее обнаруженных угроз в критически важных системных зонах операционной системы. Таким образом, вредоносная программа может прописаться в автозагрузке и получить повышенные привилегии.
Эксперт по компьютерной безопасности из австрийской компании Kapsch, Флориан Богнер, обнаружил данную уязвимость и присвоил ей кодовое имя AVGater.
Некоторые вендоры выпустили обновления
Богнер заявил, что он проинформировал все антивирусные компании, чьи продукты оказались подвержены уязвимости. После того, как некоторые вендоры выпустили обновления, эксперт опубликовал свои исследования.
Уязвимость была устранена в решениях Trend Micro, Emsisoft, “Лаборатории Касперского”, Malwarebytes, Ikarus и Zone Alarm от Check Point.
Богнер утверждает, что остальные компании выпустят патчи в ближайшие дни и не исключает, что движки, которые не были протестированы, также могут быть уязвимыми.
Как работает AVGater
Чтобы понять, как работает уязвимость, рассмотрим сценарий успешной эксплуатации:
- Компьютер пользователя инфицируется вредоносной программой.
- Антивирусный движок обнаруживает угрозу.
- Антивирус отправляет вредоносную программу в карантин.
- Локальный злоумышленник без прав администратора запускает эксплойт на уязвимой системе. Код эксплойта использует точки соединения NTFS для изменения расположения файла, добавленного в карантин.
- Злоумышленник запускает операцию “Восстановление из карантина”.
- Зараженный файл отправляется в свое расположение, но точка соединения NTFS передает этот файл в папку внутри C:\Windows. Пользователь, не являющийся администратором, не может копировать файлы внутри этой папки, но антивирусные программы работают под привилегиями SYSTEM, а это означает, что файл, восстановленный из карантина, будет отправлен в системную папку без отображения ошибок или предупреждений.
- Некоторые службы Windows или основные процессы используются для для загрузки/запуска всех DLL-файлов, хранящихся в определенных каталогах Windows. Поэтому, когда пользователь перезагрузит свой компьютер, файл из карантина будет запущен как часть службы Windows или приложения из белого списка.
Таким образом, атака позволяет не только прописать вредоносную программу в автозагрузке, но и получить повышенные привилегии. Однако, злоумышленнику требуется физический доступ к уязвимой машине, что является серьезным ограничением.
Тем не менее, существуют сценарии, в которых AVGater может оказаться опасным, например, в офисах организаций, образовательных или правительственных учреждениях, где пользователи совместно используют компьютеры, в банкоматах на базе Windows и т.д.
Богнер сообщает, что пользователи могут предотвратить атаки AVGater с помощью регулярного обновления антивирусных продуктов. В корпоративных средах рекомендуется заблокировать возможность восстановления файлов из карантина.
Угрозы безопасности
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub