SafeBreach Labs安全研究人员发现,Avast防病毒、AVG防病毒漏洞可能允许攻击者加载恶意DLL文件,以绕过防御并提升特权。

跟踪代码为CVE-2019-17093,影响了所有版本的Avast防病毒和AVG防病毒。

AVG是Avast的子公司,应用程序共享核心代码-可能会滥用第一个安全漏洞来实现SafeBreach所说的自卫绕过,逃避防御,持久性和特权升级。

利用此漏洞需要管理特权,但是可能导致将恶意DLL加载到以NT AUTHORITY \ SYSTEM运行的多个进程中。

研究人员发现,AM-PPL(防恶意软件保护的过程灯)AVGSvc.exe试图在启动时加载DLL,但它在错误的文件夹中搜索文件。

由于防病毒应用程序内部具有保护机制,因此即使对管理员也禁止将DLL写入应用程序的文件夹之一。但是,可以通过将DLL文件写入不受保护的文件夹来绕过这种自卫机制,应用程序从该文件夹中加载组件。

“由于代码完整性机制,通常不允许将未签名的代码加载到AM-PPL中。任何加载到受保护进程中的非Windows DLL必须使用适当的证书进行签名。” SafeBreach Labs解释说。

为了利用此漏洞,安全研究人员从原始漏洞中编译了一个未签名的代理DLL。接下来,他们将DLL放在C:\ Program Files \ System32 \中,防病毒软件在其中查找具有相同名称的DLL,这导致文件具有SYSTEM特权被加载。

“该漏洞使攻击者能够在AVG / Avast签名进程的上下文中使用多个签名的服务加载和执行恶意有效负载。攻击者可能出于不同目的(例如执行和逃避)滥用此功能,例如:“应用程序白名单绕过”。

发现此问题影响版本19.8以下的所有版本的Avast Antivirus和AVG Antivirus。9月26日发布了补丁。

在过去的几个月中,SafeBreach报告称在包括HP、Dell、Forcepoint、趋势科技、Bitdefender、Avira和Check Point在内的多家供应商的软件中发现了类似的缺陷

看来大牛厂家都有这个通病。

声明:本文来自红数位,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。