SafeBreach spesialister oppdaget en sårbarhet i gratis antivirus Bitdefender Antivirus Free 2020 (opp til versjon 1.0.15.138 det løser problemet).
Than bug fikk identifikator CVE-2019-15295 og scoret 5.9 punkter på CVSS sårbarhet karakterskala. Sikkerhetsproblemet kan brukes av angripere til å heve privilegier til systemnivå.Problemet er knyttet til mangel på riktig verifikasjon av nedlastbare binærfiler: det er ikke sjekket om de er signert og lastet ned fra en klarert plassering.
“NT AUTHORITY SYSTEM – den mest priviligerte brukerkonto. Denne typen service kan bli utsatt for en bruker-til-SYSTEM privilegium opptrapping, som er svært nyttig og kraftig til en angriper. Den kjør av tjenesten er undertegnet av BitDefender og hvis hackeren finner en måte å kjøre kode i denne prosessen, det kan brukes som en applikasjon ved å godkjenne bypass som kan føre til sikkerhetsprodukt flukt”, - skrive SafeBreach spesialister.
Sikkerhetsproblemet er direkte forbundet med ServiceInstance.dll bibliotek, som er lastet ned av BitDefender oppdateringstjenesten (updatesrv.exe) og BitDefender sikkerhetstjeneste (vsserv.exe), som er undertegnet av Bitdefender og drive med systemrettigheter. igjen, ServiceInstance.dll laster de RestartWatchDog.dll bibliotek.
Siden RestartWatchDog.dll er ikke lasting trygt, antivirusprogrammet ikke garantere at den nedlastede bibliotekfilen er signert. Dette gjør at en angriper som har tilgang til et system som kjører Bitdefender Antivirus Free 2020 å installere et ondsinnet versjon av biblioteket som vil jobbe i stedet for legitimt.
For å sikre suksess for angrepet, bruker eller prosessen med administratorrettigheter må først endre banen for å inkludere mappen der angriperen ønsker å injisere ondsinnet DLL. Du trenger også å sette de riktige tillatelsene for denne katalogen slik at en bruker uten administratorrettigheter kan skrive filer til den.
“Til tross for det er et antivirus, disse tjenestene kjører som ikke-PPL, Hvilket betyr at CIG (Kode Integrity Guard) er ikke håndheves, så usignert kode lasting er mulig i disse prosessene”, - rapport forskere.
SafeBreach forskere oppmerksom på at de nylig avslørte en svært lik sårbarhet i Trend Micros passord manager. Det er også tillatt usikker lasting av DLL og tillot angriper å øke privilegier i systemet.
For tiden, BitDefender spesialister har allerede løst problemet ved å slippe en oppdatert versjon av deres antivirus.