Nová zranitelnost využívá k infekci systému antivir

16. 11. 2017

Sdílet

Poslední zaznamenaný případ takovýchto praktik zahrnuje funkci „obnovení z karantény“ a byl objeven v různých antivirových řešeních.

Zranitelnost objevil rakouský bezpečnostní auditor Florian Bogner, který ji pojmenoval AVGater. Funguje víceméně tak, že přesune malware z karantény antiviru do citlivého umístění v rámci systému oběti.

Bogner, který pracuje pro firmu Kapsch, podle svých slov o zranitelnosti informoval všechny výrobce antivirů, kterých se problém týká. Některé z těchto společností oznámily, že již na problém vydaly záplatu. Patří k nim Emisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro a ZoneAlarm.

Při testování průniků u klienta infikoval Bogner PC klienta klasickou e-mailovou phishingovou technikou. Malware následně dostal do karantény antivirového programu a poté zneužil zranitelnosti v softwaru, umožňující uživatelům s nedostatečnými oprávněními obnovit soubory z karantény. Poté se mu soubor podařilo přesunout do složky dle vlastního výběru. Následným zneužitím dalších prvků systému zvládl spuštění malwaru s plnými oprávněními.

Nejdůležitějším omezením AVGateru je fakt, že útočník musí mít fyzický přístup ke konkrétnímu stroji, což je však ve sdílených počítačových prostředích stále problém.

Zdroj: Techspot.com

Našli jste v článku chybu?