آسیب‌پذیری‌های قرنطینه‌ی آنتی‌ویروس به مهاجم اجازه می‌دهد امتیازات خود را افزایش دهد

چند آنتی ویروس محبوب، تحت تاثیر نوعی آسیب پذیری قرار گرفته اند که به یک مهاجم اجازه می دهد تا با سوء استفاده از ویژگی قرنطینه، امتیازات را در یک سیستم آسیب دیده، افزایش دهد. زمانی که مهاجم به یک سیستم نفوذ می کند، ممکن است به امتیازات بیشتری نیاز داشته باشد تا به اطلاعاتی دسترسی پیدا کند که اجازه ی حرکت در داخل شبکه را به او بدهد. فلورین بوگنر، بازرس امنیت اطلاعات در شرکت Kapsch مستقر در اتریش، ادعا کرد که راه جدیدی برای رسیدن به این هدف کشف کرده است و آن هم سوء استفاده از ویژگی قرنطینه ی برخی از آنتی ویروس ها است. روش این حمله که توسط محقق AVGater تشریح شد، به ترکیبی از آسیب پذیری ها و روش های شناخته شده متکی است.


بنا به گفته‌ی بوگنر، این حمله با یک فایل DLL مخرب که توسط آنتی‌ویروس در قرنطینه قرار می‌گیرد، آغاز می‌شود. سپس مهاجم از فرآیندهای ویندوزی برنامه‌ی امنیتی که معمولا مجوزهایSYSTEM  را دارند، سوء‌استفاده می‌کند تا این فایل‌ها را بازیابی کنند. با این حال، این فایل DLL مخرب در محل اصلی خود بازیابی نمی‌شود، اما در یک پوشه‌ی متفاوتی که فرآیند ممتازی مانند Program Files از آن راه‌اندازی می‌شود یا پوشه‌ی ویندوز، و یا در محلی که یک کاربر با امتیازات محدود نمی‌تواند در فایل‌ها بنویسد، بازیابی می‌شود.


به خاطر وجود یک نوع لینک فایل که توسط سیستم فایل NTFS پشتیبانی می‌شوند، نوشتن در فایل‌هایی که در هر مکانی از سیستم  بازیابی شده‌اند، امکان‌پذیر است. این لینک‌ها، نمونه‌هایی از سیستم فایل هستند که می‌توانند برای لینک دادن مسیرها مورد استفاده قرار گیرند. زمانی که فایل DDL مخرب در پوشه‌ی هدف قرار می‌گیرد، فرآیندهای ممتاز ویندوز که با آن پوشه مرتبط هستند، باتوجه به نحوه‌ی عملکرد دستور جستجوی DLL (ویندوز ابتدا در مسیری که برنامه از آن جا بارگذاری می‌شود به دنبال یک فایل DLL می‌گردد)، به جای فایل قانونی آن را  اجرا خواهند کرد.


تایید شده است که این آسیب‌پذیری، محصولات  Trend Micro ،Emsisoft ،Kaspersky ،Malwarebytes ،Check Point و Ikarus را تحت تاثیر قرار داده است. نرم‌افزارهای سایر شرکت‌ها نیز تحت تاثیر قرار گرفته‌اند، اما نام آن‌ها تنها بعد از انتشار وصله‌ها، افشاء خواهد شد. بوگنر، دو پست وبلاگی جداگانه منتشر کرده است که جزئیات بهره‌برداری از محصولات Emsisoft و  Malwarebyte را بیان می‌کند. در این مثال‌ها، مهاجم می‌تواند فایل DLL مخرب را در مسیر مربوط به این محصولات امنیتی قرار دهد، به این ترتیب سرویس حفاظت Emsisoft و فرآیند سرویس Malwarebytes به جای کتابخانه‌ی قانونی، بدافزار را بارگذاری می‌کند.


این محقق مشخص نکرده است که دقیقا چه زمانی به سایر شرکت‌های تولیدکننده‌ی آنتی‌ویروس اطلاع داده شده، اما در اواخر سال ۲۰۱۶ میلادی و در اوایل سال ۲۰۱۷ میلادی به Emsisoft و Malwarebytes اطلاع داده شد و آن‌ها در عرض یک هفته وصله‌هایی منتشر کردند. بوگنر اشاره کرد که آسیب‌پذیری AVGater تنها در صورتی می‌تواند مورد بهره‌برداری قرار گیرد که کاربری که حساب او در معرض خطر قرار گرفته است، بتواند فایل‌های قرنطینه‌شده را بازیابی کند. به همین دلیل به سازمان‌ها توصیه می‌کند اطمینان حاصل کنند که کاربران عادی نمی‌توانند چنین عملیاتی را انجام دهند.


همانند هر نرم‌افزار دیگری، محصولات امنیتی هم می‌توانند آسیب‌پذیری‌های جدی داشته باشند که توسط عاملان تهدید مورد بهره‌برداری قرار گیرد. کارشناسان همچنین هشدار دادند که آنتی‌ویروس‌ها نه تنها می‌توانند سطح حمله را افزایش دهند بلکه امنیت HTTPS را نیز تضعیف می‌کنند.
 

منبع

پست‌های مشابه

Leave a Comment