流行的防病毒软件中的漏洞使攻击者能够升级系统特权
最近,网络安全专家透露了在流行的防病毒解决方案中发现的所有安全漏洞的所有详细信息,这些漏洞可能使威胁行为者提升其升级的特权。CyberArk安全团队在一份报告中声称,所有这些高特权都与反恶意软件产品有关。这些产品使它们更容易受到文件操作攻击的利用,出现在恶意软件获得系统高级权限的情况下。
防病毒软件中的漏洞使攻击者能够升级系统特权
受影响的防病毒软件和相关的CVE
- 卡巴斯基: CVE-2020-25045,CVE-2020-25044,CVE-2020-25043
- McAfee: CVE-2020-7250,CVE-2020-7310
- 赛门铁克: CVE-2019-19548
- Fortinet: CVE-2020-9290
- 检查点: CVE-2019-8452
- 趋势科技: CVE-2019-19688,CVE-2019-19689 +3
- Avira: CVE-2020-13903
- 微软: CVE-2019-1161
- Avast:等待斜接
- F-Secure:等待斜接
不信任计划数据
应用程序将ProgramData记录应用于收集对于用户而言并非唯一的数据。这意味着未附加到特定用户的已处理服务将使用ProgramData而不是%LocalAppData%,它可由当前登录的用户使用。所有这些错误是由Windows的“ C:ProgramData”文件夹的默认DACL引起的。就像我们说过的那样,在使用此应用程序时,用户可以收集数据而无需征求进一步的许可。
大多数用户在索引的基本级别上都具有写和删除权限。当非特权进程在“ ProgramData”中生成新文件夹(以后可以通过特权方法获取)时,它增加了特权的可能性。
共享日志文件错误
共享相同的日志文件可能使威胁参与者能够利用特权方法删除所有文件并生成符号链接,该符号链接将指向任何渴望的,内容处理不当的任意文件。不仅如此,CyberArk专家还证明,在执行与防病毒软件链接的特权方法之前,有可能在“ C:ProgramData”中建立一个新文件夹。
DLL劫持
DLL劫持为不良用户提供了以多种方式增加其特权的最佳可能性。由于供应商会更新内部软件包,因此此机会对于威胁参与者来说是最有利可图的,但他们通常会忽略更新安装程序软件包。但是,通过DLL劫持进行的特权增加不能取决于%PATH%中的可写记录。这就是为什么我们提到一些容易受到这种攻击的安装框架的部分清单。以下是下面提到的安装框架:
- InstallShield
- 创新安装
- Nsis安装程序
- Wix安装程序
根据CyberArk报告,有一些解决方案可以绕过此漏洞,并且这些解决方案非常容易应用,在这里我们提到以下内容:
- 使用前更改DACL
- 正确冒充
- 更新安装框架
- 使用LoadLibraryEx
我们提到的所有这些数据都是有益的且易于应用。除此之外,这些错误的含义通常是本地系统中的完全特权增加。仅仅由于安全产品的特权级别高,不准确就可以使恶意软件维护其立足点并给公司造成更多损失。
