SafeBreach specialisten ontdekten een kwetsbaarheid in de gratis antivirus Bitdefender Antivirus Gratis 2020 (tot versie 1.0.15.138 dat het probleem is opgelost).
Thij bug ontving de identifier CVE-2019-15.295 en scoorde 5.9 points op de CVSS kwetsbaarheid waarderingsschaal. Het beveiligingslek kan worden gebruikt door aanvallers om privileges te verheffen tot het niveau SYSTEEM.Het probleem is gerelateerd aan het ontbreken van een goede controle van de downloadbare binaries: het is niet gecontroleerd of ze gesloten worden en gedownload van een vertrouwde locatie.
“NT AUTHORITY SYSTEM – de meest bevoorrechte gebruikersaccount. Deze vorm van dienstverlening kan worden blootgesteld aan een user-to-SYSTEM privilege escalatie, dat is erg handig en krachtig voor een aanvaller. Het uitvoerbare van de dienst wordt ondertekend door BitDefender en als de hacker vindt een manier om code uit te voeren op deze werkwijze, het kan worden gebruikt als een toepassing whitelisting bypass wat kan leiden tot beveiligingsproduct fraude”, - schrijven SafeBreach specialisten.
De kwetsbaarheid is direct verbonden met de ServiceInstance.dll bibliotheek, die wordt gedownload door de BitDefender-update-service (updatesrv.exe) en de BitDefender veiligheidsdienst (vsserv.exe), die worden ondertekend door Bitdefender en werken met systeemrechten. op zijn beurt, ServiceInstance.dll laadt de RestartWatchDog.dll bibliotheek.
Sinds RestartWatchDog.dll is niet veilig laden, de antivirus applicatie kan niet garanderen dat het gedownloade bibliotheek bestand is ondertekend. Hierdoor kan een aanvaller die toegang heeft tot een systeem met Bitdefender Antivirus Free heeft 2020 naar een kwaadaardige versie van de bibliotheek te installeren die zal werken in plaats van het legitiem.
Om het succes van de aanval te verzekeren, gebruiker of proces met beheerdersrechten moet eerst het pad naar de map waarin de aanvaller wil het injecteren omvatten kwaadaardige DLL. U moet ook de juiste machtigingen voor deze map, zodat een gebruiker zonder beheerdersrechten bestanden naar kunt schrijven.
“Ondanks het feit dat het een antivirus, deze diensten worden uitgevoerd als niet-PPL, waardoor CIG (Code Integrity Guard) is niet afgedwongen, dus unsigned code belading mogelijk in deze processen”, - verslag van de onderzoekers.
SafeBreach onderzoekers constateren dat zij onlangs onthuld een zeer gelijkaardige kwetsbaarheid in Trend Micro's password manager. Het liet ook onzeker laden van de DLL en kon de aanvaller privileges in het systeem te vergroten.
Momenteel, Bitdefender specialisten hebben al het probleem opgelost door het vrijgeven van een bijgewerkte versie van hun antivirus.
