info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری AVGater در آنتی‌ویروس‌های محبوب.‍ وقتی نمک می‌گندد!

خلاصه: همانند هر نرم‌افزار دیگری، محصولات امنیتی نیز می‌توانند آسیب‌پذیری‌های جدی‌ را  که قابل بهره‌برداری توسط مهاجمان باشد، داشته باشند. محققان اخیراً آسیب‌پذیری‌ به نام AVGater را کشف کرده‌اند که چندین آنتی‌ویروس محبوب را تحت تأثیر قرار می‌دهد و به مهاجمان امکان افزایش سطح دسترسی در سیستم‌های هک شده را خواهد داد.

چندین آنتی‌ویروس محبوب تحت تأثیر نوعی آسیب‌پذیری قرار دارند که به مهاجمان امکان افزایش امتیاز در سیستم‌های هک شده را می‌دهد.

هنگامی که یک مهاجم سیستم را هک می‌کند، ممکن است برای دسترسی به اطلاعاتی که به او امکان حرکات جانبی در شبکه را می‌دهد به سطح دسترسی بالاتری در سیستم نیاز داشته باشد. یکی از محققان راه جدیدی را برای افزایش سطح دسترسی در سیستم کشف کرده است- سوءاستفاده از ویژگی قرنطینه در بعضی از آنتی‌ویروس‌ها!

این روش حمله که توسط محققان، AVGater نامیده شده است، متکی به ترکیبی از آسیب‌پذیری‌ها و تکنیک‌های شناخته‌شده است.

طبق گفته‌ی محققان، یک حمله با قرار گرفتن فایل DLL مخرب در قرنطینه توسط آنتی‌ویروس آغاز می‌شود. سپس مهاجم از پروسه‌ی ویندوزی اپلیکیشن امنیتی که به ‌طور رایج مجوز SYSTEM را داراست، برای بازگردانی فایل سوءاستفاده می‌کند. به هر حال DLL مخرب به موقعیت اصلی‌اش بازگردانی نمی‌شود اما به یک پوشه متفاوت که یک پروسه‌ی مجوزدار آن را  راه ‌اندازی کرده است قرار می‌گیرد-مانند ‌Program File یا پوشه‌های Windows- جایی که فایل‌ها  قابل نوشتن توسط یک کاربر با مجوزهای محدود نیستند.

هنگامی که DLL مخرب در پوشه هدف قرار گرفت، پروسه‌ی ویندوزی دار ای امتیاز مرتبط با آن پوشه آن را اجرا خواهد کرد.

این آسیب‌پذیری محصولاتی مانند Trend Micro، Emsisoft، Kaspersky Lab، Check Point ‪(ZoneAlarm)‬ و Ikarus را تحت تأثیر قرار می‌دهد.

جزپیات بهره‌برداری علیه  Emsisoft و Malwarebytes  منتشر شده است،  در این مثال‌ها مهاجم می‌تواند DLL مخرب را در مسیر مربوط به این محصولات امنیتی قرار دهد بنابراین سرویس محافظت Emsisoft  و  پروسه‌ی سرویس MalwareBytes متأسفانه به جای کتابخانه‌ی قانونی، بدافزار را بارگذاری خواهد کرد.

محققان اشاره می‌کنند که آسیب‌پذیری AVGater تنها زمانی می‌تواند مورد بهره‌برداری قرار بگیرد که کاربری که حساب کاربریش به خطر افتاده است قادر به بازیابی فایل‌های قرنطینه باشد. به همین دلیل است که توصیه می‌شود که سازمان‌ها از اینکه بسیاری از کاربران نمی‌توانند چنین عملیاتی را انجام دهند ا اطمینان حاصل کنند.

همانند هر نرم‌افزار دیگری، محصولات امنیتی نیز می‌توانند آسیب‌پذیری‌های جدی‌ قابل بهره‌برداری توسط مهاجمان داشته باشند. محققان همچنین هشدار دادند که آنتی‌ویروس‌ها نه ‌تنها می‌توانند سطح حمله را افزایش دهند بلکه می‌توانند امنیت HTTPS را تضعیف کنند.