En İyi Antivirüs Yazılımlarındaki Yeni Kusurlar Bilgisayarları Daha Savunmasız Hale Getirebilir
Siber güvenlik araştırmacıları bugün, popüler antivirüs çözümlerinde bulunan, saldırganların ayrıcalıklarını yükseltmelerine ve böylelikle kötü amaçlı yazılımların risk altındaki sistemlerdeki yerini korumalarına yardımcı olabilecek güvenlik açıklarının ayrıntılarını açıkladı.
CyberArk araştırmacısı Eran Shimony tarafından bugün yayınlanan ve The Hacker News ile paylaşılan bir rapora göre , genellikle kötü amaçlı yazılımdan koruma ürünleriyle ilişkilendirilen yüksek ayrıcalıklar, onları dosya manipülasyon saldırıları yoluyla istismara karşı daha savunmasız hale getirerek, kötü amaçlı yazılımın sistemi.
Hatalar, her biri ilgili satıcı tarafından düzeltilen Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira ve Microsoft Defender dahil olmak üzere çok çeşitli antivirüs çözümlerini etkiliyor.
Kusurların başında, dosyaları rasgele konumlardan silebilmesi, saldırganın sistemdeki herhangi bir dosyayı silebilmesi ve kötü bir aktörün sistemdeki herhangi bir dosyanın içeriğini ortadan kaldırmasına izin veren bir dosya bozulması güvenlik açığıdır.
CyberArk'a göre, hatalar, standart kullanıcılar için ek izinler gerektirmeden verileri depolayan uygulamalar tarafından Windows'un "C: \ ProgramData" klasörü için varsayılan DACL'lerden (İsteğe Bağlı Erişim Kontrol Listelerinin kısaltması) kaynaklanır.
Her kullanıcının dizinin temel düzeyinde hem yazma hem de silme iznine sahip olduğu göz önüne alındığında, ayrıcalıklı olmayan bir işlem "ProgramData" da daha sonra ayrıcalıklı bir işlem tarafından erişilebilecek yeni bir klasör oluşturduğunda ayrıcalık yükseltme olasılığını artırır.
| Antivirüs | Güvenlik Açığı |
| Kaspersky Güvenlik Merkezi | CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 |
| McAfee Endpoint Security ve McAfee Total Protection | CVE-2020-7250, CVE-2020-7310 |
| Symantec Norton Power Eraser | CVE-2019-1954 |
| Fortinet FortiClient | CVE-2020-9290 |
| Point ZoneAlarm'ı ve Check Point Endpoint Security'yi kontrol edin | CVE-2019-8452 |
| Ev Ağları için Trend Micro HouseCall | CVE-2019-19688, CVE-2019-19689 ve atanmamış üç kusur daha |
| Avira | CVE-2020-13903 |
| Microsoft Defender | CVE-2019-1161 |
Bir durumda, şu da gözlemlenmiştir ki, iki farklı süreçler - Bir ayrıcalıklı ve doğrulanmış yerel kullanıcı olarak diğer çalışma - potansiyel dosyayı silmek ayrıcalıklı sürecini istismar ve oluşturmak için bir saldırganı sağlayan aynı günlük dosyası paylaşılan sembolik bağlantıyı olur kötü amaçlı içeriğe sahip herhangi bir rastgele dosyayı işaret edin.
CyberArk araştırmacıları daha sonra ayrıcalıklı bir işlem yürütülmeden önce "C: \ ProgramData" da yeni bir klasör oluşturma olasılığını da araştırdılar.
Bunu yaparken, "McAfee" klasörünü oluşturduktan sonra McAfee antivirüs yükleyicisi çalıştırıldığında, standart kullanıcının dizin üzerinde tam denetime sahip olduğunu ve yerel kullanıcının bir sembolik bağlantı saldırısı gerçekleştirerek yükseltilmiş izinler elde etmesini sağladığını gördüler.
Hepsinden önemlisi, Trend Micro, Fortinet ve diğer antivirüs çözümlerindeki bir DLL korsanlığı hatası , bir saldırgan tarafından kötü amaçlı bir DLL dosyasını uygulama dizinine yerleştirmek ve ayrıcalıkları yükseltmek için kullanılabilirdi.
CyberArk, rasgele silme güvenlik açıklarını önlemek için erişim kontrol listelerinin kısıtlayıcı olması gerektiğini vurgulayarak, DLL Hijacking saldırılarını azaltmak için kurulum çerçevelerini güncelleme ihtiyacını vurguladı.
Bu sorunlar ele alınmış olsa da, rapor, antivirüs koruması sunmayı amaçlayanlar da dahil olmak üzere yazılımdaki zayıflıkların kötü amaçlı yazılım için bir kanal olabileceğini hatırlatıyor.
CyberArk araştırmacıları, "Bu hataların etkileri genellikle yerel sistemin tam ayrıcalıklı tırmanmasıdır" dedi. Güvenlik ürünlerinin yüksek ayrıcalık seviyesinden dolayı, içlerindeki bir hata, kötü amaçlı yazılımın dayanak noktasını korumasına ve kuruluşa daha fazla zarar vermesine yardımcı olabilir. "
Yorum Gönder