CVE-2019-17.093 is een kwetsbaarheid in alle edities van Avast en AVG Antivirus programma's ontdekt.
Het probleem kan een aanvaller kwaadaardige DLL-bestanden te laden om de bescherming te omzeilen en doorzettingsvermogen op gecompromitteerde systemen te bereiken.
Opgemerkt dient te worden dat het benutten van de bug vereist administratieve privileges. Zodra deze privileges verworven, kan de aanvaller kwaadaardige DLL-bestanden in meerdere processen te laden.
CVE-2019-17.093 in Detail
Officiële beschrijving:
Een probleem werd ontdekt in Avast antivirus voor 19.8 en AVG antivirus alvorens 19.8. Een DLL Preloading kwetsbaarheid kan een aanvaller% WINDIR implanteren% system32 wbemcomn.dll, die is geladen in een beschermde licht proces (PPL) en kunnen omzeilen enkele van de zelfverdediging mechanismen. Dit heeft invloed op alle onderdelen die WMI gebruiken, bijv., AVGSvc.exe 19.6.4546.0 en TuneupSmartScan.dll 19.1.884.0.
De kwetsbaarheid werd ontdekt door onderzoekers van SafeBreach Labs. De onderzoekers aangetoond dat “het mogelijk was om een willekeurige unsigned DLL in meerdere processen die worden uitgevoerd als NT AUTHORITY SYSTEM laden, zelfs met behulp van Beveiligde Process Light (PPL)".
Voor het doel van zelfverdediging mechanismen, zelfs beheerders mogen geen DLL te schrijven naar de AM-PPL (Anti-Malware Beschermde Process Light). Echter, het blijkt dat de beperking kan worden omzeild door het schrijven van het DLL-bestand naar een onbeveiligde map die wordt gebruikt door een toepassing componenten laden.
Er zijn twee bijzondere redenen voor deze beperking te worden omzeild. De eerste reden, zoals opgemerkt door de onderzoekers, is het gebrek aan veilig het laden van DLL. De andere oorzaak is dat de code de integriteit wordt niet afgedwongen in de AM-PPL proces.
Volgens Avast, op dit moment de PPL beperking met betrekking tot ondertekend DLL (code integriteit) is uitgeschakeld in de uitvoering ervan. Zoals we aangetoond, dit kan leiden tot zelfverdediging bypass, aldus het rapport.
CVE-2019-17.093 Attack Scenario
Een aanvaller misbruik van dit lek zou kunnen zijn in staat om te laden en uit te voeren kwaadaardige payloads via meerdere ondertekend diensten, uiteindelijk leidend tot Application Whitelisting Bypass. Bovendien, de zelfverdediging mechanisme van de antivirus programma kan ook worden omzeild, waardoor knoeien met de antivirus directory.
CVE-2019-17093 kan ook worden gebruikt voor het laden en uitvoeren payloads aanhoudend. Met andere woorden, ooit een kwaadaardige DLL is geïnjecteerd, de kwaadaardige code wordt ingesteld om te laden op elk systeem herstart.
De onderzoekers rapporteerden de bug te Avast in augustus. Het bedrijf erkende de kwestie in september, en een fix werd gepresenteerd in versie 19.8 van AVG en Avast. Alle onderstaande versies worden ondersteund 19.8 zijn kwetsbaar en moet onmiddellijk worden bijgewerkt.
Avast verworven AVG in 2016.