especialistas SafeBreach descobriu uma vulnerabilidade no livre antivírus Bitdefender Antivirus Free 2020 (até a versão 1.0.15.138 que corrige o problema).
Tele bug recebeu o identificador CVE-2019-15295 e marcou 5.9 pontos na escala de classificação vulnerabilidade CVSS. A vulnerabilidade poderia ser usada por crackers para elevar privilégios ao nível do sistema.O problema está relacionado à falta de verificação adequada dos binários para download: não é verificado se eles são assinados e baixado a partir de um local confiável.
“NT AUTHORITY SYSTEM – a conta de usuário mais privilegiado. Este tipo de serviço pode ser exposto a uma escalada de privilégios de usuário-to-SYSTEM, o que é muito útil e poderoso para um atacante. O executável do serviço é assinado pelo BitDefender e se o hacker encontra uma maneira de executar código dentro desse processo, ele pode ser usado como um desvio whitelisting aplicação que pode levar à evasão produto de segurança”, - escrever especialistas SafeBreach.
A vulnerabilidade está directamente associada com o ServiceInstance.dll biblioteca, que é baixado pelo serviço de atualização BitDefender (updatesrv.exe) eo serviço de segurança BitDefender (vsserv.exe), que são assinados por Bitdefender e operar com privilégios de sistema. por sua vez, ServiceInstance.dll carrega o RestartWatchDog.dll biblioteca.
Desde a RestartWatchDog.dll não está carregando de forma segura, o aplicativo antivírus não garante que o arquivo de biblioteca baixado foi assinado. Isso permite que um atacante que tenha acesso a um sistema executando Bitdefender Antivirus Free 2020 instalar uma versão maliciosa da biblioteca que irá trabalhar em vez de um legítimo.
Para garantir o sucesso do ataque, usuário ou processo com privilégios de administrador deve primeiro alterar o caminho para incluir a pasta em que o atacante quer injetar o DLL malicioso. Você também vai precisar para definir as permissões apropriadas para este diretório para que um usuário sem direitos de administrador pode escrever arquivos para ele.
“Apesar do fato de que é um antivírus, estes serviços estão em execução como não-PPL, o que significa que CIG (Guarda integridade do código) não é aplicada, assim carregamento sem sinal de código é possível para estes processos”, - relatório pesquisadores.
pesquisadores SafeBreach notar que revelou recentemente uma vulnerabilidade muito semelhante no gerenciador de senhas da Trend Micro. É também permitido carregamento insegura da DLL e permitido o invasor para aumentar privilégios no sistema.
atualmente, especialistas Bitdefender já corrigiu o problema, liberando uma versão atualizada de seu antivírus.
