Эксплуатация уязвимости позволяет обойти защиту на целевой системе, обеспечить персистентность и повысить привилегии.
В антивирусной программе Avira 2019 обнаружена опасная уязвимость (CVE-2019-17449), эксплуатация которой позволяет обойти защиту на целевой системе, обеспечить персистентность и повысить привилегии путем загрузки произвольной неподписанной DLL-библиотеки. Для эксплуатации уязвимости злоумышленник должен иметь права администратора.
Эксперты из компании SafeBreach протестировали службу Avira ServiceHost (служба Avira Launcher). Avira ServiceHost — подписанный процесс, который запускается с правами NT AUTHORITY/SYSTEM и первым устанавливается после запуска установщика. По словам экспертов, при запуске Avira.ServiceHost.exe пытается загрузить недостающую библиотеку Windtrust.dll из своего каталога. Уязвимость затрагивает версии Avira Launcher ниже 1.2.137 и версии Avira Software Updater ниже 2.0.6.21094.
Как правило, антивирусные решения ограничивают любые модификации (например, добавление, запись или изменение файлов) в папках с помощью мини-фильтра, применяющего политику «только для чтения» к любому пользователю, включая Администратора. В рамках эксперимента исследователи скомпилировали произвольную DLL-библиотеку, записывающую в текстовый файл название процесса, который его загрузил, имя пользователя, который его выполнил, и название DLL-библиотеки.
«Нам удалось загрузить произвольную DLL-библиотеку и выполнить код внутри Avira.ServiceHost.exe, который был подписан «Avira Operations GmbH & Co. KG» и выполнен как NT AUTHORITY/SYSTEM», — отмечают эксперты.
Подобные действия исследователям удалось провести и с другими службами Avira (System Speedup, Software Updater и Optimizer Host).
Эксперты обнаружили три типа атак, возможных при эксплуатации данной уязвимости: обход защиты антивирусного ПО; загрузка и выполнение вредоносной полезной нагрузки в контексте подписанного процесса Avira; обеспечение персистентности на системе.
Исследователи уведомили компанию об уязвимости в июле нынешнего года. В сентябре Avira выпустила исправленную версию Launcher (1.2.137).
От классики до авангарда — наука во всех жанрах