Hjem > Cyber ​​Nyheder > CVE-2019-17093: Svaghed i Avast og AVG Antivirus
CYBER NEWS

CVE-2019-17.093: Svaghed i Avast og AVG Antivirus




CVE-2019-17.093 er en sårbarhed opdaget i alle udgaver af Avast og AVG Antivirus-programmer.

Spørgsmålet kan give en hacker at indlæse ondsindede DLL-filer til at omgå beskyttelsen og opnå vedholdenhed på kompromitteret systemer.

Det skal bemærkes, at udnytte fejlen kræver administratorrettigheder. Når disse privilegier er erhvervet, hackeren kan indlæse ondsindede DLL-filer i flere processer.

CVE-2019-17.093 i Detail

Officiel beskrivelse:

Et problem blev opdaget i Avast antivirus før 19.8 og AVG antivirus før 19.8. En DLL preloading gjorde det muligt for en hacker at implantere% windir% system32 wbemcomn.dll, som fyldes i en beskyttet lys proces (PPL) og måske omgå nogle af de selv-forsvarsmekanismer. Dette påvirker alle komponenter, der bruger WMI, f.eks, AVGSvc.exe 19.6.4546.0 og TuneupSmartScan.dll 19.1.884.0.

Sårbarheden var opdaget af SafeBreach Labs forskere. Forskerne viste sig, at ”det var muligt at indlæse en vilkårlig usigneret DLL i flere processer, der kører som NT AUTHORITY SYSTEM, selv med anvendelse af beskyttede Process Light (PPL)".

Med henblik på selvforsvarsmekanismer, endda administratorer er ikke tilladt at skrive DLL til AM-PPL (Anti-Malware Beskyttet Proces Lys). Men, det viser sig, at begrænsningen kan omgås ved at skrive DLL-fil til en ubeskyttet mappe, som benyttes af et program til at indlæse komponenter.

Der er to særlige grunde til denne begrænsning skal omgås. Den første grund, som påpeget af forskerne, er manglen på sikker DLL lastning. Den anden årsag er, at koden integritet er ikke håndhæves i AM-PPL proces.

Ifølge Avast, øjeblikket PPL begrænsning med hensyn underskrevne DLL'er (kode integritet) er deaktiveret i deres gennemførelse. Som vi demonstreret, dette kan føre til selvforsvar bypass, hedder det i rapporten.

CVE-2019-17093 Attack Scenarier

En hacker udnytte sårbarheden kunne være i stand til at indlæse og udføre ondsindede nyttelast via flere underskrevne tjenester, sidste ende fører til Application Whitelisting Bypass. Endvidere, den selvforsvar mekanisme antivirusprogrammet kunne omgås så godt, hvilket resulterer i manipulation med Antivirus biblioteket.

CVE-2019-17.093 kunne også bruges til at indlæse og udføre nyttelast vedholdende. Med andre ord, når en ondsindet DLL er blevet indsprøjtet, den skadelige kode vil blive sat til at indlæse på hver genstart af systemet.

Forskerne rapporterede fejlen til Avast i august. Virksomheden erkendte problemet i september, og en rettelse blev præsenteret i version 19.8 af AVG og Avast. Alle versioner nedenfor 19.8 er sårbare og bør ajourføres straks.

Avast erhvervet AVG i 2016.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig