CVE-2.019-17.093 è una vulnerabilità scoperta in tutte le edizioni di Avast e programmi AVG Antivirus.
Il problema potrebbe consentire a un utente malintenzionato di caricare i file DLL malevolo per bypassare la protezione e raggiungere la persistenza sui sistemi compromessi.
Va notato che sfruttando il bug richiede privilegi amministrativi. Una volta che questi privilegi vengono acquisiti, l'attaccante può caricare i file DLL maligni a più processi.
CVE-2.019-17.093 in dettaglio
Descrizione ufficiale:
Un problema è stato scoperto nel Avast antivirus prima 19.8 e antivirus AVG prima 19.8. Una vulnerabilità di caricamento DLL permette a un attaccante di impiantare% windir% system32 wbemcomn.dll, che viene caricato in un processo protetto luce (PPL) e potrebbe bypassare alcuni dei meccanismi di autodifesa. Questo riguarda tutti i componenti che utilizzano WMI, es, AVGSvc.exe 19.6.4546.0 e TuneupSmartScan.dll 19.1.884.0.
La vulnerabilità è stata scoperto dai ricercatori SafeBreach Labs. I ricercatori hanno dimostrato che “è stato possibile caricare una DLL senza segno arbitrario in più processi che vengono eseguiti come NT AUTHORITY SYSTEM, anche utilizzando Protected Process Luce (PPL)".
Ai fini di meccanismi di autodifesa, anche gli amministratori non possono scrivere DLL al AM-PPL (Anti-Malware Protected Luce Processo). Tuttavia, si scopre che la restrizione può essere aggirato scrivendo il file DLL in una cartella non protetta che viene utilizzato da un'applicazione per caricare i componenti.
Ci sono due ragioni specifiche per questa restrizione deve essere bypassati. La prima ragione, come sottolineato dai ricercatori, è la mancanza di sicurezza DLL loading. L'altra causa è che l'integrità del codice non viene applicata nel processo AM-PPL.
Secondo Avast, DLL attualmente la restrizione per quanto riguarda PPL firmato (integrità del codice) è disabilitato nella loro attuazione. Come abbiamo dimostrato, questo potrebbe portare a bypass auto-difesa, dice il rapporto.
CVE-2019-17093 scenari di attacco
Un utente malintenzionato sfruttando la vulnerabilità potrebbe essere in grado di caricare ed eseguire payload dannosi tramite diversi servizi firmati, portando infine alla applicazione whitelist bypass. Inoltre, il meccanismo di difesa del programma antivirus potrebbe essere bypassato pure, con conseguente manomissione directory Antivirus.
CVE-2.019-17.093 potrebbe anche essere utilizzato per caricare ed eseguire payload persistentemente. In altre parole, una volta DLL dannoso è stato iniettato, il codice maligno sarà impostato per caricare su ogni riavvio del sistema.
I ricercatori hanno segnalato il bug a Avast nel mese di agosto. L'azienda ha riconosciuto il problema nel mese di settembre, e una correzione è stata presentata nella versione 19.8 di AVG e Avast. Tutte le versioni di sotto 19.8 sono vulnerabili e dovrebbe essere aggiornato immediatamente.
Avast AVG acquisita 2016.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: