В антивирусном программном обеспечении Avast, AVG и Avira были выявлены уязвимости, которые могут быть использованы злоумышленниками для загрузки вредоносной DLL. У кибепреступников откроется возможность для обхода функций защиты и повышения прав в системе.
По словам сотрудников SafeBreach Labs, обнаруживших эту проблему безопасности, все версии Avast Antivirus и AVG Antivirus содержат брешь, получившую идентификатор CVE-2019-17093.
«Эту уязвимость также можно использовать для укрепления вредоноса в системе. В частности, мы можем продемонстрировать, как неподписанная DLL-библиотека внедряется во множество процессов, запущенных с правами NT AUTHORITY\SYSTEM», — говорится в отчёте SafeBreach Labs.
Например, процесс AVGSvc.exe, по словам исследователей, при запуске пытается загрузить файл wbemcomn.dll из директории C:\Windows\System32\wbem\wbemcomn.dll. При этом библиотеки нет по этому пути, на самом деле она находится в папке System32.
Компонент защиты антивирусной программой своих процессов можно обойти, поместив DLL-файл в незащищенную директорию, из которой приложение пытается загрузить свои модули.
«Если мы сможем поместить неподписанную DLL в незащищенную папку, у нас получится обойти механизм самозащиты антивируса».
В результате команда SafeBreach Labs создала свой DLL-файл на базе легитимной версии wbemcomn.dll. Затем его поместили в C:\Program Files\System32\ с возможностью запуска с правами администратора.
Эксперты отметили, что брешь актуальна для всех версий Avast Antivirus, а также для AVG Antivirus ниже версии 19.8. Разработчики устранили эту проблему с выходом патча от 26 сентября 2019 года. Кроме того, специалисты выявили похожую уязвимость в Avira Antivirus 2019, получившую идентификатор CVE-2019-17449.
https://bitdefender.ru/news/v-neskolkih-populyarnyh-antivirusah-najdena-uyazvimost-perehvata-dll/