В популярном антивирусе обнаружена опасная уязвимость
В антивирусной программе Avira 2019 обнаружена опасная уязвимость (CVE-2019-17449), эксплуатация которой позволяет обойти защиту на целевой системе, обеспечить персистентность и повысить привилегии путем загрузки произвольной неподписанной DLL-библиотеки. Для эксплуатации уязвимости злоумышленник должен иметь права администратора.
Эксперты из компании SafeBreach протестировали службу Avira ServiceHost (служба Avira Launcher). Avira ServiceHost - подписанный процесс, который запускается с правами NT AUTHORITY/SYSTEM и первым устанавливается после запуска установщика. По словам экспертов, при запуске Avira.ServiceHost.exe пытается загрузить недостающую библиотеку Windtrust.dll из своего каталога. Уязвимость затрагивает версии Avira Launcher ниже 1.2.137 и версии Avira Software Updater ниже 2.0.6.21094.
Как правило, антивирусные решения ограничивают любые модификации (например, добавление, запись или изменение файлов) в папках с помощью мини-фильтра, применяющего политику "только для чтения" к любому пользователю, включая Администратора. В рамках эксперимента исследователи скомпилировали произвольную DLL-библиотеку, записывающую в текстовый файл название процесса, который его загрузил, имя пользователя, который его выполнил, и название DLL-библиотеки.
"Нам удалось загрузить произвольную DLL-библиотеку и выполнить код внутри Avira.ServiceHost.exe, который был подписан "Avira Operations GmbH & Co. KG" и выполнен как NT AUTHORITY/SYSTEM", - отмечают эксперты.
Подобные действия исследователям удалось провести и с другими службами Avira (System Speedup, Software Updater и Optimizer Host).
Эксперты обнаружили три типа атак, возможных при эксплуатации данной уязвимости: обход защиты антивирусного ПО; загрузка и выполнение вредоносной полезной нагрузки в контексте подписанного процесса Avira; обеспечение персистентности на системе.
Исследователи уведомили компанию об уязвимости в июле нынешнего года. В сентябре Avira выпустила исправленную версию Launcher (1.2.137).
