CVE-2019-17093: アバストおよびAVGアンチウイルスの脆弱性

CVE-2019-17093は、アバストおよびAVGアンチウイルスプログラムのすべてのエディションで発見された脆弱性です。.

この問題により、攻撃者が悪意のあるDLLファイルをロードして保護を回避し、侵害されたシステムで永続性を実現する可能性があります。.

バグを悪用するには管理者権限が必要であることに注意してください. これらの特権が取得されると, 攻撃者は複数のプロセスで悪意のあるDLLファイルをロードすることができます.

CVE-2019-17093の詳細

公式説明:

以前にアバストアンチウイルスで問題が発見されました 19.8 および以前のAVGアンチウイルス 19.8. DLLのプリロードの脆弱性により、攻撃者は％WINDIR％ system32wbemcomn.dllを埋め込むことができます。, これは保護された光のプロセスにロードされます (PPL) 自己防衛メカニズムの一部をバイパスする可能性があります. これは、WMIを使用するすべてのコンポーネントに影響します, 例えば, AVGSvc.exe 19.6.4546.0 およびTuneupSmartScan.dll 19.1.884.0.

この脆弱性はSafeBreach Labsの研究者によって発見された。. 研究者は、「NT AUTHORITYSYSTEMとして実行される複数のプロセスに任意の署名されていないDLLをロードすることが可能であったことを証明しました, 保護されたプロセスライトを使用しても (PPL)」.

自己防衛メカニズムの目的のために, 管理者でさえ、AM-PPLにDLLを書き込むことは許可されていません (マルウェア対策保護プロセスライト). でも, アプリケーションがコンポーネントをロードするために使用する保護されていないフォルダにDLLファイルを書き込むことで、制限を回避できることがわかりました。.

この制限が回避される2つの特定の理由があります. 最初の理由, 研究者が指摘したように, 安全なDLLの読み込みの欠如です. もう1つの原因は、AM-PPLプロセスでコードの整合性が強制されていないことです。.

アバストによると, 現在、署名されたDLLに関するPPLの制限 (コードの整合性) それらの実装では無効になっています. 私たちが示したように, これは自己防衛バイパスにつながる可能性があります, レポートによると.

CVE-2019-17093攻撃シナリオ

脆弱性を悪用する攻撃者は、複数の署名されたサービスを介して悪意のあるペイロードをロードして実行できる可能性があります, 最終的にアプリケーションホワイトリストのバイパスにつながる. さらに, ウイルス対策プログラムの自己防衛メカニズムもバイパスされる可能性があります, アンチウイルスディレクトリが改ざんされる結果.

CVE-2019-17093を使用して、ペイロードを永続的にロードおよび実行することもできます. 言い換えると, 悪意のあるDLLが挿入されたら, 悪意のあるコードは、システムを再起動するたびにロードされるように設定されます.

研究者は8月にバグをアバストに報告しました. 同社は9月にこの問題を認めた, 修正はバージョンで提示されました 19.8 AVGとアバストの. 以下のすべてのバージョン 19.8 脆弱であり、すぐに更新する必要があります.

アバスト でAVGを取得 2016.