CVE-2.019-17.093 ist eine Schwachstelle in allen Editionen von Avast und AVG Anti-Virus-Programmen entdeckt.
Das Problem könnte ein Angreifer bösartige DLL-Dateien laden Schutz umgehen und Persistenz auf kompromittierte Systeme zu erreichen.
Es sollte die Fehler Administratorrechte zu nutzen beachtet werden, erfordert. Sobald diese Privilegien erworben, kann der Angreifer bösartige DLL-Dateien in mehrere Prozesse laden.
CVE-2.019-17.093 im Detail
Offizielle Katalogbeschreibungen:
Ein Problem wurde in Avast Antivirus entdeckt vor 19.8 und AVG Anti-Virus vor 19.8. Ein DLL Vorbelastung erlaubt ein Angreifer% windir% system32 wbemcomn.dll zu implantieren, welches in einen geschützten Licht Prozess geladen (PPL) und vielleicht einige der Selbstverteidigungsmechanismen umgehen. Dies betrifft alle Komponenten, die WMI verwenden, z.B., AVGSvc.exe 19.6.4546.0 und TuneupSmartScan.dll 19.1.884.0.
Die Schwachstelle wurde von Forschern von SafeBreach Labs entdeckt. Die Forscher bewiesen, dass „es war möglich, eine beliebige unsigned DLL in mehrere Prozesse zu laden, die als NT AUTHORITY SYSTEM ausgeführt, Verwendung auch geschütztes Prozesslicht (PPL)".
Für die Zwecke der Selbstverteidigungsmechanismen, selbst Administratoren nicht schreiben DLL an den AM-PPL erlaubt (Anti-Malware-Schutz Prozesslicht). Jedoch, es stellt sich heraus, dass die Beschränkung durch das Schreiben der DLL-Datei in einen ungeschützten Ordner umgangen wird, die von einer Anwendung verwendet wird, Komponenten zu laden.
Es gibt zwei besondere Gründe für diese Einschränkung umgangen werden. Der erste Grund, wie die Forscher darauf hingewiesen,, ist der Mangel an sicheren Laden von DLLs. Die andere Ursache ist, dass Code Integrität nicht im AM-PPL Prozess erzwungen.
Nach Avast, derzeit die PPL Einschränkung in Bezug auf unterzeichnet DLLs (Code Integrität) wird bei der Umsetzung deaktiviert. Wie wir gezeigt,, dies könnte zu Selbstverteidigung Bypass führen, so der Bericht.
CVE-2.019-17.093 Angriffsszenarien
Ein Angreifer diese Sicherheitsanfälligkeit ausnutzen könnte der Lage sein, böswillige Nutzlasten über mehrere signierte Dienste zu laden und auszuführen, was schließlich zu Anwendung Whitelisting Bypass. Weiter, der Selbstverteidigungsmechanismus des Antivirus-Programms könnte auch umgangen werden, resultierend mit dem Antivirus-Verzeichnis in Manipulationen.
CVE-2.019-17.093 könnte auch Nutzlasten verwendet werden, zu laden und auszuführen beharrlich. Mit anderen Worten, sobald eine bösartige DLL injiziert wurde, der Schadcode wird eingestellt auf jedem Neustart des Systems laden.
Die Forscher berichteten, den Fehler zu Avast im August. Das Unternehmen bestätigte die Ausgabe im September, und ein Fix wurde in Version vorgestellt 19.8 von AVG und Avast. Alle Versionen unten 19.8 verwundbar sind und sofort aktualisiert werden soll.
Avast erworben AVG in 2016.