Бесплатный антивирус под Windows стал свободной точкой входа на ПК для злоумышленников
Уязвимость в бесплатном антивирусе BitDefender угрожает повышением привилегий. При определенных условиях BitDefenderможно заставить запускать произвольный код с помощью поддельной DLL. Исправления уже внесены.
Шесть из десяти
В известном бесплатном антивирусе BitDefender Antivirus Free 2020 под Windows выявлена уязвимость, допускающая повышение привилегий в системе. Баг получил индекс CVE-2019-15295; эксперты оценили его в 5,9 баллов по 10-балльной шкале опасности.
Проблема вызвана недостаточностью проверки загружаемых двоичных файлов и их источника в динамической библиотеке ServiceInstance.dll.
Как выяснил эксперт по информационной безопасности компании SafeBreach Labs Пелег Хадар (Peleg Hadar), два исполняемых файла Bitdefender — vsserv.exe, отвечающий за защиту, и updatersrv.exe, отвечающий за обновления, — требуют определенный DLL для работы (RestartWatchDog.dll). Если по какой-то причине они не могут найти его на обычном месте, поиск осуществляется в нескольких других локациях, прописанных в системной переменной PATH.
Одной из этих локаций оказывается C:/python27. Хадар использовал для проведения эксперимента виртуальную машину, где список ACL (контроля доступа) для этой папки разрешал доступ для любого авторизованного пользователя. Таким образом, пользователь со стандартными правами в системе мог загрузить в эту папку поддельную DLL с нужным названием
После того как Хадар загрузил поддельную RestartWatchDog.dll в эту папку, процессы Bitdefender запустили ее, не проверяя наличия цифровой подписи.
Но все не так просто
На реальных машинах это, скорее всего, не так просто провернуть. «Необходимо заметить, что пользователь или процесс с административными правами должен выставить значения ACL для конкретной папки так, чтобы сделать возможным доступ туда для рядовых пользовательских аккаунтов, и поменять системную переменную PATH так, чтобы та включала данную папку. Это можно сделать с помощью других приложений», — написал Хадар.
В результате успешной эксплуатации этой уязвимости злоумышленник может добиться запуска вредоносного кода в обход системных «белых списков»: антивирус по определению будет входить в число доверенных приложений. Кроме того, можно добиться устойчивого присутствия вредоноса в системе: он будет загружаться при каждом запуске антивируса. Ну, а главное, злоумышленник может совершать любые действия с самыми высокими привилегиями — NT AUTHORITY\SYSTEM, что означает доступ «почти к любому файлу или процессу» в системе.
Хадар проинформировал разработчиков антивируса об уязвимости еще в июле 2019 г. Позже, 19 августа BitDefender выпустил обновление и бюллетень безопасности, посвященный выявленной проблеме.
«Уязвимость в антивирусе — один из самых неприятных сценариев, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Пользователи ожидают, что антивирус обеспечит защиту их системы, а не станет "точкой входа" для киберзлоумышленников. К сожалению, антивирусы не многим лучше застрахованы от ошибок программистов, чем любые другие программные разработки. А потом, просто в силу их функционального назначения, аудиту безопасности их стоит подвергать как можно чаще».