SafeBreach Spezialisten entdeckten eine Schwachstelle in der kostenlosen Antivirus Bitdefender Antivirus Free 2020 (bis zur Version 1.0.15.138 dass das Problem behoben).
TDer Fehler hat die Kennung erhalten CVE-2019-15295 und erzielte 5.9 Punkte auf der CVSS-Schwachstellenbewertungsskala. Die Sicherheitsanfälligkeit kann von Angreifern genutzt werden Privilegien der Systemebene zu heben.Das Problem hängt mit der fehlenden ordnungsgemäßen Überprüfung herunterladbarer Binärdateien zusammen: es wird nicht geprüft, ob sie signiert und von einem vertrauenswürdigen Ort heruntergeladen wurden.
„NT-BEHÖRDESYSTEM – das privilegierteste Benutzerkonto. Diese Art von Dienst kann einer Benutzer-zu-SYSTEM-Berechtigungseskalation ausgesetzt sein, was für einen Angreifer sehr nützlich und mächtig ist. Die ausführbare Datei des Dienstes wird von BitDefender signiert und wenn der Hacker einen Weg findet, Code innerhalb dieses Prozesses auszuführen, Es kann als Umgehung für die Whitelisting von Anwendungen verwendet werden, was zur Umgehung von Sicherheitsprodukten führen kann.“, - schreiben SafeBreach-Spezialisten.
Die Schwachstelle steht in direktem Zusammenhang mit dem ServiceInstance.dll Bibliothek, which is downloaded by the BitDefender update service (updatesrv.exe) and the BitDefender security service (vsserv.exe), which are signed by Bitdefender and operate with SYSTEM privileges. im Gegenzug, ServiceInstance.dll loads the RestartWatchDog.dll Bibliothek.
Schon seit RestartWatchDog.dll is not loading safely, the antivirus application does not guarantee that the downloaded library file has been signed. This allows an attacker who has access to a system running Bitdefender Antivirus Free 2020 to install a malicious version of the library that will work instead of the legitimate one.
To ensure success of the attack, user or process with administrator privileges must first change the PATH to include the folder in which the attacker wants to inject the malicious DLL. Sie müssen auch die entsprechenden Berechtigungen für dieses Verzeichnis festlegen, damit ein Benutzer ohne Administratorrechte Dateien darauf schreiben kann.
„Trotz der Tatsache, dass es ein Antivirus ist, diese Dienste laufen als Nicht-PPL, was bedeutet, dass CIG (Codeintegritätswächter) wird nicht durchgesetzt, Daher ist das Laden von vorzeichenlosem Code in diese Prozesse möglich.“, - Bericht Forscher.
SafeBreach-Forscher stellen fest, dass sie kürzlich enthüllt haben eine sehr ähnliche Schwachstelle im Passwort-Manager von Trend Micro. Es ermöglichte auch ein unsicheres Laden der DLL und ermöglichte dem Angreifer, die Berechtigungen im System zu erhöhen.
Zur Zeit, Bitdefender-Spezialisten haben das Problem bereits behoben, indem sie eine aktualisierte Version ihres Antivirenprogramms veröffentlicht haben.
