Lỗ hổng trong các sản phẩm diệt virus cho phép tấn công DLL Hijacking

0
9

Ngoài những cái tên như Avast, AVG, Avira, McAfee, Forcepoint, Trend Micro, Bitdefender và Check Point, Symantec Endpoint Protection hiện là sản phẩm diệt virus mới nhất bị phát hiện dính lỗ hổng này.

Symantec đã cập nhật bản vá cho lỗi CVE-2019-12758 này. Các phiên bản bị ảnh hưởng của Symantec Endpoint Protection gồm các bản từ 14.2.RU1 trở về trước.

Các nhà nghiên cứu bảo mật SafeBreach phát hiện ra lỗ hổng trong phần mềm diệt virus của McAfee cho phép kẻ tấn công vượt qua các cơ chế tự bảo vệ của phần mềm.

Lỗ hổng bảo mật có thể bị lạm dụng để tải các thư viện DLL chưa được ký và được chạy với quyền NT AUTHORITY\SYSTEM. Tuy nhiên, việc khai thác đòi hỏikẻ tấn công phải có đặc quyền của quản trị viên.

Theo SafeBreach, các phần mềm diệt virus hiện nay chạy như một dịch vụ của Windows được thực thi với quyền “NT AUTHORITY\SYSTEM”, nghĩa là có quyền cao nhất trên hệ thống.

Các nhà nghiên cứu bảo mật phát hiện ra rằng, các tiến trình bị ảnh hưởng cố gắng tải tệp từ đường dẫn C:\Windows\System32\wbem\wbemcomn.dll. Tuy nhiên không thể tìm thấy tệp do tệp đó nằm trong thư mục System32.

Cơ chế này có thể bị kẻ tấn công khai thác để tải DLL độc hại bằng cách đặt tệp của chúng vào thư mục wbem với tên gọi wbemcomn.dll.

Một thư viện không được ký số được tải bởi tiến trình phần mềm McAfee sẽ dẫn đến việc cơ chế tự bảo vệ của phần mềm diệt virus bị qua mặt, từ đó ngăn chặn người dùng, thậm chí cả quản trị viên, ghi vào các thư mục của phần mềm.

Một vấn đề khác khiến các cơ chế tự bảo vệ của phần mềm có thể bị qua mặt là phần mềm diệt virus không xác thực chữ ký số đối với tệp DLL.

SafeBreach giải thích, lỗ hổng cho phép kẻ tấn công tải và thực thi payload độc hại mỗi khi các dịch vụ được tải. Có nghĩa là một khi kẻ tấn công thả một tệp DLL độc hại, các dịch vụ sẽ tải mã độc sau mỗi lần được khởi động lại.

Lỗ hổng CVE-2019-3648 ảnh hưởng tới McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP), và McAfee Internet Security (MIS).

McAfee đã phát hành một bản vá và cho biết chưa có thông tin về việc lỗ hổng đã bị khai thác trong các cuộc tấn công.

Vài tuần trước, SafeBreach tiết lộ các sản phẩm diệt virus của Avast, AVG và Avira cũng bị ảnh hưởng bởi các lỗ hổng DLL hijacking chiếm quyền khai thác theo cách tương tự bởi những kẻ tấn công có đặc quyền quản trị.

Theo nhận định của chuyên gia Bkav, để khai thác được lổ hổng này cần có quyền quản trị, vì vậy chúng ta không nên chạy các phần mềm không rõ nguồn gốc với quyền administrator để tránh bị khai thác bởi lỗ hổng này.

Theo Securityweek