CVE-2019-17093 é uma vulnerabilidade descoberta em todas as edições do Avast e programas antivírus AVG.
A questão poderia permitir que um invasor carregar arquivos DLL maliciosos para proteção de desvio e conseguir a persistência nos sistemas comprometidos.
Note-se que a exploração da bug requer privilégios administrativos. Uma vez que estes privilégios são adquiridos, o atacante pode carregar arquivos DLL maliciosos em múltiplos processos.
CVE-2019-17093 em Detalhe
Descrição oficial:
Um problema foi descoberto em Avast antivírus antes 19.8 e AVG antivírus antes 19.8. Uma DLL pré-carregamento vulnerabilidade permite que um atacante implante% WINDIR% system32 wbemcomn.dll, que é carregado para um processo de-protegido da luz (PPL) e poder de bypass alguns dos mecanismos de auto-defesa. Isso afeta todos os componentes que usam WMI, v.g., AVGSvc.exe 19.6.4546.0 e TuneupSmartScan.dll 19.1.884.0.
A vulnerabilidade foi descoberta por pesquisadores do SafeBreach Labs. Os pesquisadores provaram que “foi possível carregar uma DLL não assinado arbitrário em vários processos que são executados como NT AUTHORITY SYSTEM, mesmo usando processo protegido Luz (PPL)”.
Para efeitos de mecanismos de autodefesa, até mesmo os administradores não estão autorizados a escrever DLL às AM-PPL (Anti-Malware processo protegido Luz). Contudo, verifica-se que a restrição pode ser contornada por gravar o arquivo DLL em uma pasta protegida que é usado por um aplicativo para componentes de carga.
Há duas razões particulares para esta restrição a ser anuladas. A primeira razão, como apontado pelos pesquisadores, é a falta de carga de DLL segura. A outra causa é que a integridade do código não é aplicada no processo AM-PPL.
De acordo com Avast, DLLs atualmente a restrição PPL Em relação assinados (integridade do código) está desativado na sua implementação. Como demonstramos, Isso pode levar a desvio de auto-defesa, segundo o relatório.
Cenários de ataque CVE-2019-17093
Um atacante exploração da vulnerabilidade poderia ser capaz de carregar e executar cargas maliciosas através de múltiplos serviços assinados, acabou levando a Aplicação Whitelisting Bypass. além disso, o mecanismo de auto-defesa do programa antivírus pode ser contornado bem, resultando em adulteração com o diretório Antivírus.
CVE-2019-17093 também poderia ser usado para carregar e executar cargas persistentemente. Em outras palavras, uma vez por DLL malicioso foi injectado, o código malicioso será definido para carga em cada reinicialização do sistema.
Os pesquisadores relataram o bug para Avast em agosto. A empresa reconheceu o problema em setembro, e uma correção foi apresentado na versão 19.8 da AVG e Avast. Todas as versões abaixo 19.8 são vulneráveis e devem ser atualizados imediatamente.
avast Adquirida AVG em 2016.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: