Специалист из компании CyberArk Эран Шимони обнаружил уязвимости в продуктах нескольких крупных поставщиков решений по кибербезопасности: Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira, Microsoft, Avast и F-Secure. Он сообщил компаниям о результатах исследования, а те выпустили необходимые исправления.
Проведенное Эраном Шимони исследование было сосредоточено на уязвимостях, позволяющих киберпреступникам или вредоносному ПО повышать привилегии в системе при атаках с использованием символических ссылок или перехвата DLL. В ряде случаев ошибки безопасности позволяли хакерами удалять произвольные файлы. Такие типы кибератак на продукты по кибербезопасности также были детально описаны в начале года экспертами компании RACK911 Labs.
Символическая ссылка – ярлык файла, но ИБ-специалисты неоднократно демонстрировали, что специально созданные символические ссылки могут применяться для записи, изменения, удаления файлов, что может применяться киберпреступниками для повышения привилегий или нанесения ущерба атакуемой системе.
Эран Шимони проанализировал две разновидности такой атаки с использованием символических ссылок:
- когда непривилегированный процесс создает файлы или папки, которые впоследствии будут использоваться привилегированным процессом;
- когда каталог создается киберпреступником до того, как он будет создан привилегированным процессом.
В обоих случаях хакеры могут применять символические ссылки для увеличения привилегий с помощью привилегированного процесса.
Исследователь также обнаружил, что многие установщики программного обеспечения для защиты от вредоносного ПО полагаются на старую среду установки, что позволяет киберпреступникам проводить атаки с перехватом DLL для повышения привилегий.
«Последствия этих ошибок часто приводят к повышению привилегий в локальной атакуемой системе. Из-за высокого уровня привилегий продуктов безопасности, ошибка в них может помочь вредоносному ПО закрепиться и нанести больший ущерб организации. Эксплойты, представленные здесь, легко реализовать, но также легко исправить. Мы видели, что для блокирования атак с использованием символических ссылок или блокировки загрузки вредоносных DLL требуется лишь небольшое изменение кода. Зная это, поставщики антивирусных программ должны быть в состоянии устранить этот широко распространенный класс ошибок», – пояснил Шимони.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
