چند آنتی ویروس محبوب، تحت تاثیر نوعی آسیب پذیری قرار گرفته اند که به یک مهاجم اجازه می دهد تا با سوء استفاده از ویژگی قرنطینه، امتیازات را در یک سیستم آسیب دیده، افزایش دهد. زمانی که مهاجم به یک سیستم نفوذ می کند، ممکن است به امتیازات بیشتری نیاز داشته باشد تا به اطلاعاتی دسترسی پیدا کند که اجازه ی حرکت در داخل شبکه را به او بدهد. فلورین بوگنر، بازرس امنیت اطلاعات در شرکت Kapsch مستقر در اتریش، ادعا کرد که راه جدیدی برای رسیدن به این هدف کشف کرده است و آن هم سوء استفاده از ویژگی قرنطینه ی برخی از آنتی ویروس ها است. روش این حمله که توسط محقق AVGater تشریح شد، به ترکیبی از آسیب پذیری ها و روش های شناخته شده متکی است.
بنا به گفتهی بوگنر، این حمله با یک فایل DLL مخرب که توسط آنتیویروس در قرنطینه قرار میگیرد، آغاز میشود. سپس مهاجم از فرآیندهای ویندوزی برنامهی امنیتی که معمولا مجوزهایSYSTEM را دارند، سوءاستفاده میکند تا این فایلها را بازیابی کنند. با این حال، این فایل DLL مخرب در محل اصلی خود بازیابی نمیشود، اما در یک پوشهی متفاوتی که فرآیند ممتازی مانند Program Files از آن راهاندازی میشود یا پوشهی ویندوز، و یا در محلی که یک کاربر با امتیازات محدود نمیتواند در فایلها بنویسد، بازیابی میشود.
به خاطر وجود یک نوع لینک فایل که توسط سیستم فایل NTFS پشتیبانی میشوند، نوشتن در فایلهایی که در هر مکانی از سیستم بازیابی شدهاند، امکانپذیر است. این لینکها، نمونههایی از سیستم فایل هستند که میتوانند برای لینک دادن مسیرها مورد استفاده قرار گیرند. زمانی که فایل DDL مخرب در پوشهی هدف قرار میگیرد، فرآیندهای ممتاز ویندوز که با آن پوشه مرتبط هستند، باتوجه به نحوهی عملکرد دستور جستجوی DLL (ویندوز ابتدا در مسیری که برنامه از آن جا بارگذاری میشود به دنبال یک فایل DLL میگردد)، به جای فایل قانونی آن را اجرا خواهند کرد.
تایید شده است که این آسیبپذیری، محصولات Trend Micro ،Emsisoft ،Kaspersky ،Malwarebytes ،Check Point و Ikarus را تحت تاثیر قرار داده است. نرمافزارهای سایر شرکتها نیز تحت تاثیر قرار گرفتهاند، اما نام آنها تنها بعد از انتشار وصلهها، افشاء خواهد شد. بوگنر، دو پست وبلاگی جداگانه منتشر کرده است که جزئیات بهرهبرداری از محصولات Emsisoft و Malwarebyte را بیان میکند. در این مثالها، مهاجم میتواند فایل DLL مخرب را در مسیر مربوط به این محصولات امنیتی قرار دهد، به این ترتیب سرویس حفاظت Emsisoft و فرآیند سرویس Malwarebytes به جای کتابخانهی قانونی، بدافزار را بارگذاری میکند.
این محقق مشخص نکرده است که دقیقا چه زمانی به سایر شرکتهای تولیدکنندهی آنتیویروس اطلاع داده شده، اما در اواخر سال ۲۰۱۶ میلادی و در اوایل سال ۲۰۱۷ میلادی به Emsisoft و Malwarebytes اطلاع داده شد و آنها در عرض یک هفته وصلههایی منتشر کردند. بوگنر اشاره کرد که آسیبپذیری AVGater تنها در صورتی میتواند مورد بهرهبرداری قرار گیرد که کاربری که حساب او در معرض خطر قرار گرفته است، بتواند فایلهای قرنطینهشده را بازیابی کند. به همین دلیل به سازمانها توصیه میکند اطمینان حاصل کنند که کاربران عادی نمیتوانند چنین عملیاتی را انجام دهند.
همانند هر نرمافزار دیگری، محصولات امنیتی هم میتوانند آسیبپذیریهای جدی داشته باشند که توسط عاملان تهدید مورد بهرهبرداری قرار گیرد. کارشناسان همچنین هشدار دادند که آنتیویروسها نه تنها میتوانند سطح حمله را افزایش دهند بلکه امنیت HTTPS را نیز تضعیف میکنند.