Исследователи безопасности SafeBreach Labs обнаружили, что уязвимости в Avast Antivirus, AVG Antivirus и Avira Antivirus могут позволить злоумышленнику загрузить вредоносный файл DLL в попытке обойти защиту и повысить привилегии.
Эксплуатация ошибки требует административных привилегий, что может привести к загрузке вредоносной библиотеки DLL в несколько процессов, которые выполняются как NT AUTHORITY \ SYSTEM.
Исследователи обнаружили, что AVGSvc.exe, AM-PPL (Light-Protected Process Process Light), пытается загрузить DLL при запуске, но ищет файл в неправильной папке.
Из-за механизмов защиты внутри антивирусных приложений, запись DLL в одну из папок приложения, если это запрещено даже администраторам. Однако этот механизм самозащиты можно обойти, записав файл DLL в незащищенную папку, из которой приложение загружает компоненты.
«Уязвимость дает злоумышленникам возможность загружать и выполнять вредоносные полезные данные, используя несколько подписанных сервисов, в контексте процессов, подписанных AVG / Avast. Злоумышленник может использовать эту способность для различных целей, таких как выполнение и уклонение, например: обход белого списка приложений », - объясняют исследователи в области безопасности.
