Серьезная уязвимость в антивирусных решениях заставила компанию AVAST из соображений безопасности отключить JavaScript в своих продуктах. Вот несколько подробностей.
Антивирусные решения AVAST используют JavaScript-интерпретатор для запуска подозрительной программы в своей «песочнице». Затем ее поведение проверяется на наличие вредоносного кода. В этом нет ничего необычного, но специалисты по безопасности знают, что это потенциальная точка атаки для вредоносных программ. Если в песочнице есть уязвимость, вредоносный код может «убежать» из песочницы.
Исследователь безопасности Google Тавис Орманди (Tavis Ormandy) из проекта «Ноль» (Project Zero) указал на большую проблему в интерпретаторе AVAST JavaScript и антивирусном движке на Github 11 марта 2020 года. В ходе анализа он обнаружил уязвимость в AvastSvc.exe. Это антивирусный процесс Avast, запущенный с уровнем разрешения SYSTEM.
Сервис AvastSvc.exe загружает низкоуровневый антивирусный движок и анализирует ненадежные данные, полученные из таких источников, как мини-фильтр файловой системы или перехваченный сетевой трафик. Несмотря на то, что сервис является высокопривилегированным и обрабатывает недоверенные входные данные, он не запускается в песочнице и, согласно анализу, проведенному Орманди, практически не принимает никаких мер по снижению воздействия. Более того, продукт поставляется с собственным интерпретатором JavaScript. Все уязвимости в этой конструкции критичны и легко доступны для удаленных злоумышленников.
Орманди не нашел конкретной слабости в этой конструкции. Но в своей статье в GitHut он отмечает, что отладка в этом процессе может быть чрезвычайно сложной. Он также задокументировал для других исследователей безопасности, как атаковать этот JavaScript эмулятор для поиска уязвимостей.
Получает, что AVAST встроил «слабое места», на которое нужно только напасть. Так что это был лишь вопрос времени, когда эксплойт появится. После того, как 9 марта 2020 года Орманди опубликовал свой пост в GitHub с инструментом для анализа эмулятора, они решили отключить его, чтобы защитить пользователей. По мнению AVAST, это не влияет на функциональность антивирусного решения.
