More

    Lỗ hổng trong các sản phẩm diệt virus cho phép tấn công DLL Hijacking

    Ngoài những cái tên như Avast, AVG, Avira, McAfee, Forcepoint, Trend Micro, Bitdefender và Check Point, Symantec Endpoint Protection hiện là sản phẩm diệt virus mới nhất bị phát hiện dính lỗ hổng này.

    Symantec đã cập nhật bản vá cho lỗi CVE-2019-12758 này. Các phiên bản bị ảnh hưởng của Symantec Endpoint Protection gồm các bản từ 14.2.RU1 trở về trước.

    Các nhà nghiên cứu bảo mật SafeBreach phát hiện ra lỗ hổng trong phần mềm diệt virus của McAfee cho phép kẻ tấn công vượt qua các cơ chế tự bảo vệ của phần mềm.

    Lỗ hổng bảo mật có thể bị lạm dụng để tải các thư viện DLL chưa được ký và được chạy với quyền NT AUTHORITY\SYSTEM. Tuy nhiên, việc khai thác đòi hỏikẻ tấn công phải có đặc quyền của quản trị viên.

    Theo SafeBreach, các phần mềm diệt virus hiện nay chạy như một dịch vụ của Windows được thực thi với quyền “NT AUTHORITY\SYSTEM”, nghĩa là có quyền cao nhất trên hệ thống.

    Các nhà nghiên cứu bảo mật phát hiện ra rằng, các tiến trình bị ảnh hưởng cố gắng tải tệp từ đường dẫn C:\Windows\System32\wbem\wbemcomn.dll. Tuy nhiên không thể tìm thấy tệp do tệp đó nằm trong thư mục System32.

    Cơ chế này có thể bị kẻ tấn công khai thác để tải DLL độc hại bằng cách đặt tệp của chúng vào thư mục wbem với tên gọi wbemcomn.dll.

    Một thư viện không được ký số được tải bởi tiến trình phần mềm McAfee sẽ dẫn đến việc cơ chế tự bảo vệ của phần mềm diệt virus bị qua mặt, từ đó ngăn chặn người dùng, thậm chí cả quản trị viên, ghi vào các thư mục của phần mềm.

    Một vấn đề khác khiến các cơ chế tự bảo vệ của phần mềm có thể bị qua mặt là phần mềm diệt virus không xác thực chữ ký số đối với tệp DLL.

    SafeBreach giải thích, lỗ hổng cho phép kẻ tấn công tải và thực thi payload độc hại mỗi khi các dịch vụ được tải. Có nghĩa là một khi kẻ tấn công thả một tệp DLL độc hại, các dịch vụ sẽ tải mã độc sau mỗi lần được khởi động lại.

    Lỗ hổng CVE-2019-3648 ảnh hưởng tới McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP), và McAfee Internet Security (MIS).

    McAfee đã phát hành một bản vá và cho biết chưa có thông tin về việc lỗ hổng đã bị khai thác trong các cuộc tấn công.

    Vài tuần trước, SafeBreach tiết lộ các sản phẩm diệt virus của Avast, AVG và Avira cũng bị ảnh hưởng bởi các lỗ hổng DLL hijacking chiếm quyền khai thác theo cách tương tự bởi những kẻ tấn công có đặc quyền quản trị.

    Theo nhận định của chuyên gia Bkav, để khai thác được lổ hổng này cần có quyền quản trị, vì vậy chúng ta không nên chạy các phần mềm không rõ nguồn gốc với quyền administrator để tránh bị khai thác bởi lỗ hổng này.

    Theo Securityweek

    Bài Viết Mới

    Samsung giới thiệu Galaxy S20 FE tại Việt Nam giá 16 triệu đồng

    Samsung vừa âm thầm giới thiệu mẫu Galaxy S20 FE tại thị trường Việt Nam với nhiều tuỳ chọn màu sắc và màn hình tần số quét 120Hz cùng mức giá 15.990.000VNĐ.

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Smartphone bí ẩn mà LG sắp ra mắt: Đưa công nghệ của Iron Man bước ra đời thực

    Sản phẩm mang nhiều tham vọng của LG được mô tả là “mang đến những trải nghiệm mà chưa có bất kỳ...

    NaviBank tuyển dụng IT

    Mô tả công việc Xử lý các sự cố, tiếp nhận và giải đáp các yêu cầu, thắc...

    Related Stories

    Stay on op - Ge the daily news in your inbox