CVE-2019-17093 est une vulnérabilité découverte dans toutes les éditions de AVG et Avast programmes antivirus.
La question pourrait permettre à un attaquant de charger des fichiers DLL malicieuses afin de contourner la protection et à atteindre la persistance sur les systèmes compromis.
Il convient de noter que l'exploitation du bug nécessite des privilèges administratifs. Une fois que ces privilèges sont acquis, l'attaquant peut charger des fichiers DLL malveillants dans plusieurs processus.
CVE-2019-17093 en détail
Description officielle:
Un problème a été découvert dans l'antivirus Avast avant 19.8 et antivirus AVG avant 19.8. Une vulnérabilité DLL préchargement permet à un attaquant d'implanter% windir% system32 wbemcomn.dll, qui est chargé dans un processus léger protégé (PPL) et pourrait contourner certains des mécanismes d'autodéfense. Cela affecte tous les composants qui utilisent WMI, par exemple, AVGSvc.exe 19.6.4546.0 et TuneupSmartScan.dll 19.1.884.0.
La vulnérabilité a été découverte par les chercheurs de SafeBreach Labs. Les chercheurs ont prouvé que « il était possible de charger un DLL non signé arbitraire dans plusieurs processus qui fonctionnent comme AUTORITE NT SYSTEM, même en utilisant la lumière de procédé protégé (PPL)".
Aux fins des mécanismes d'autodéfense, même les administrateurs ne sont pas autorisés à écrire DLL à l'AM-PPL (Anti-Malware procédé protégé léger). Cependant, il se avère que la restriction peut être contournée en écrivant le fichier DLL dans un dossier non protégé qui est utilisé par une application pour charger les composants.
Il y a deux raisons particulières pour cette restriction à contourner. La première raison, comme l'a souligné par les chercheurs, est le manque de chargement de DLL en toute sécurité. L'autre cause est que l'intégrité du code ne soit pas appliquée dans le processus AM-PPL.
Selon Avast, actuellement la restriction PPL DLLs signé en ce qui concerne (intégrité du code) est désactivé dans leur mise en œuvre. Comme nous l'avons démontré, cela pourrait conduire à contourner l'auto-défense, le rapport.
CVE-2019-17093 Scénarios d'attaque
Un attaquant exploitant la vulnérabilité pourrait être en mesure de charger et d'exécuter des charges utiles malveillants via des services multiples signés, pour aboutir finalement à la demande Whitelisting Bypass. En outre, le mécanisme d'auto-défense du programme antivirus pourrait être contournée et, résultant en altération du répertoire Antivirus.
CVE-2019-17093 pourrait également être utilisé pour charger et exécuter des charges utiles persistante. En d'autres termes, une fois une DLL malveillant a été injecté, le code malveillant sera mis à charger sur chaque redémarrage du système.
Les chercheurs ont rapporté le bogue en Août avast. La compagnie a reconnu la question en Septembre, et un correctif a été présenté dans la version 19.8 d'AVG et Avast. Toutes les versions ci-dessous 19.8 sont vulnérables et doivent être immédiatement mis à jour.
Avast acquis AVG 2016.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: