В популярном антивирусе обнаружили опасную уязвимость
Компания Bitdefender исправила в бесплатной версии своего антивирусного решения опасную уязвимость, позволявшую злоумышленнику повысить свои привилегии до уровня системы.
Уязвимости повышения привилегий обычно используются на завершающих этапах кибератаки, когда атакующий уже получил доступ к системе и должен повысить свои привилегии для сохранения персистентности или выполнения кода.
Уязвимость (CVE-2019-15295) существует из-за отсутствия верификации подписи и источника загружаемого кода. Как пояснил специалист компании SafeBreach Labs Пелег Хадар (Peleg Hadar), сервис безопасности Bitdefender (vsserv.exe) и сервис обновления (updatesrv.exe) начинали процесс подписи с привилегиями системы. Однако они пытались загрузить отсутствующий файл DLL ('RestartWatchDog.dll') из различных локаций переменной среды PATH.
Одной из локаций была 'c:/python27' со списком управления доступом (ACL), открытым для любого авторизованного пользователя. Благодаря этому атакующий с привилегиями пользователя мог записать отсутствующий файл DLL и загрузить его в процесс подписи Bitdefender.
Хадар проэксплуатировал уязвимость с помощью неподписанного файла DLL, записавшего в текстовый файл название загружающего его процесса, имя выполнившего его пользователя и имя файла DLL. Корень проблемы заключался в библиотеке ServiceInstance.dll, пытавшейся загрузить отсутствующий файл DLL.
Обновление для бесплатной версии Bitdefender Antivirus Free 2020 вышло 21 августа и будет установлено автоматически.
