especialistas SafeBreach descubrieron una vulnerabilidad en el antivirus gratuito de Bitdefender Antivirus gratuito 2020 (hasta la versión 1.0.15.138 se soluciona el problema).
Tque recibió el error de identificador CVE-2019-15295 y anotado 5.9 puntos en la escala de evaluación de la vulnerabilidad CVSS. La vulnerabilidad podría ser utilizada por atacantes para elevar los privilegios a nivel del sistema.El problema está relacionado con la falta de verificación apropiada de los binarios descargables: no se comprueba si están firmadas y descargarse desde una ubicación de confianza.
“NT AUTHORITY SYSTEM – la cuenta de usuario más privilegiado. Este tipo de servicio puede estar expuesto a una escalada de privilegios de usuario a SISTEMA, lo cual es muy útil y potente a un atacante. El ejecutable del servicio es firmado por BitDefender y si el hacker encuentra una manera de ejecutar código dentro de este proceso, que puede ser utilizado como una derivación de listas blancas de aplicaciones que puede conducir a la evasión producto de seguridad”, - escribir especialistas SafeBreach.
La vulnerabilidad se asocia directamente con la ServiceInstance.dll biblioteca, que es descargado por el servicio de actualización de BitDefender (updatesrv.exe) y el servicio de seguridad de BitDefender (vsserv.exe), que son firmados por Bitdefender y operar con privilegios de SYSTEM. en turno, ServiceInstance.dll carga el RestartWatchDog.dll biblioteca.
Ya que RestartWatchDog.dll no se carga de forma segura, la aplicación antivirus no garantiza que el archivo de biblioteca descargado ha sido firmado. Esto permite a un atacante que tiene acceso a un sistema que ejecuta Bitdefender Antivirus gratuito 2020 para instalar una versión maliciosa de la biblioteca que va a trabajar en lugar de la legítima.
Para asegurar el éxito del ataque, usuario o proceso con privilegios de administrador primero debe cambiar el PATH para incluir la carpeta en la que el atacante quiere inyectar el DLL malicioso. También tendrá que configurar los permisos apropiados para este directorio para que un usuario sin derechos de administrador puede escribir archivos en él.
“A pesar del hecho de que es un antivirus, estos servicios se están ejecutando como no PPL, lo que significa que CIG (Integridad Código de Guardia) no se cumple, por lo que la carga código sin firmar es posible en estos procesos”, - informe de los investigadores.
SafeBreach investigadores señalan que reveló recientemente una vulnerabilidad muy similar gestor de contraseñas de Trend Micro. También permitió que la carga insegura de la DLL y permitió que el atacante para aumentar los privilegios en el sistema.
Actualmente, Bitdefender especialistas ya han solucionado el problema mediante la liberación de una versión actualizada de su antivirus.
