CVE-2.019-17093 es una vulnerabilidad descubierta en todas las ediciones de Avast y AVG Antivirus programas.
El problema podría permitir a un atacante cargar archivos DLL maliciosos para eludir la protección y lograr la persistencia en los sistemas comprometidos.
Cabe señalar que la explotación del fallo requiere privilegios administrativos. Una vez que estos privilegios se adquieren, el atacante puede cargar archivos DLL maliciosos en múltiples procesos.
CVE-2019 hasta 17.093 en detalle
Descripción oficial:
Un problema fue descubierto en Avast antivirus antes 19.8 y AVG antivirus antes 19.8. Una vulnerabilidad de precarga de DLL permite a un atacante para implantar% windir% system32 wbemcomn.dll, que se carga en un proceso protegido por la luz (PPL) y puede pasar por alto algunos de los mecanismos de autodefensa. Esto afecta a todos los componentes que utilizan WMI, e.g., AVGSvc.exe 19.6.4546.0 y TuneupSmartScan.dll 19.1.884.0.
La vulnerabilidad fue descubierta por investigadores de SafeBreach Labs. Los investigadores demostraron que “era posible cargar un archivo DLL sin signo arbitrario en múltiples procesos que se ejecutan como NT AUTHORITY SYSTEM, incluso utilizando la luz proceso protegido (PPL)".
A los efectos de los mecanismos de autodefensa, incluso los administradores no se les permite escribir DLL a la AM-PPL (Anti-Malware protegido de la luz Proceso). Sin embargo, resulta que la restricción puede evitarse mediante la escritura en el archivo DLL en una carpeta sin protección que es utilizado por una aplicación para cargar los componentes.
Hay dos razones particulares para esta restricción va a ser excluida. La primera razón, como se ha señalado por los investigadores, es la falta de carga DLL seguro. La otra causa es que la integridad del código no se aplica en el proceso de AM-PPL.
De acuerdo con Avast, DLL actualmente la restricción PPL En cuanto firmado (la integridad del código) está deshabilitado en su implementación. Como demostramos, esto podría conducir a la derivación de la autodefensa, según el informe.
CVE-2019-17093 escenarios de ataque
Un atacante podría explotar la vulnerabilidad de ser capaz de cargar y ejecutar cargas maliciosas a través de múltiples servicios suscritos, llevando eventualmente a la solicitud de lista blanca de bypass. Además, el mecanismo de autodefensa del programa antivirus podría ser evitada, así, lo que resulta en la manipulación de la directorio Antivirus.
CVE-2.019-17093 también podría ser utilizado para cargar y ejecutar cargas útiles persistentemente. En otras palabras, una vez a la DLL malicioso ha sido inyectado, el código malicioso se ajustará a cargar en cada reinicio del sistema.
Los investigadores informaron el error de Avast en agosto. La compañía reconoció el problema en septiembre, y una revisión se presenta en la versión 19.8 de AVG y Avast. Todas las versiones inferiores 19.8 son vulnerables y deben ser actualizados inmediatamente.
Avast AVG adquirida en 2016.