人気のウイルス対策ソフトウェアに新たな脆弱性が見つかる

Cyber​​Ark Labs のセキュリティ研究者は、一般的なウイルス対策ソリューションに脆弱性を発見しました。この脆弱性は、攻撃者によって悪用され、標的のシステム上でより多くの権限を取得する可能性があります。 

Cyber​​Ark Labs が発行したレポートの中で、専門家は、ユーザーを保護するはずのマルウェア対策ソリューションが、マルウェアによるシステム上の権限の拡大を意図せず支援してしまう可能性があると指摘しています。

マルウェア対策製品は高い権限を持っているため、悪用に対してはるかに脆弱であるようで、ファイル操作攻撃によって上位のアクセス許可を取得するために悪用される可能性があります。

このバグに対して脆弱な複数のマルウェア対策製品には、Kaspersky、McAfee、Symantec、Fortinet、Check Point、Trend Micro、Avira、Microsoft Defender の製品が含まれます。

ただし、研究者によって報告されたこれらの脆弱性はそれぞれのベンダーによって修正されています。

研究者らによると、いくつかの欠陥の主な原因の 1 つは、デフォルトの DACL (随意アクセス制御リスト) です。C:\プログラムデータディレクトリ。 Windows では、ProgramData ディレクトリは、ユーザーに固有ではないデータを保存するためにアプリケーションによって使用されます。

これは、特定のユーザーに関係のないプロセスやサービスでは、現在ログインしているユーザーがアクセスできる %LocalAppData% の代わりに ProgramData を使用する可能性があることを意味します。

「これが、すべてのユーザーがそこにあるディレクトリに自由にアクセスできるように、ProgramData が設計上許容的な DACL を備えている理由だと思います」と、報告。

言い換えると、 すべてのユーザーは、ディレクトリの基本レベルに対する書き込み権限と削除権限の両方を持っています。これは、非特権プロセスが「ProgramData」内にディレクトリを作成した場合、後で特権プロセスがそのディレクトリにアクセスできる可能性があることを意味します。

以下は、Cyber​​Ark 研究者によって発見された問題の完全なリストです。

非特権プロセスが、後で特権プロセスによって使用されるディレクトリ/ファイルを作成した場合に何が起こるかを示すために、研究者は、Avira の AV に影響を与える共有ログ ファイルの問題に関する情報を提供しました。

攻撃者は特権プロセスを悪用してファイルを削除し、シンボリックリンク(シンボリックリンクまたはソフトリンクとも呼ばれます) は、悪意のあるコンテンツを含むターゲットシステム上の任意のファイルを指します。

Cyber​​Ark の研究者は、セキュリティに関連する特権プロセスの前に、「C:\ProgramData」に新しいフォルダーを作成する可能性も発見しました。ウイルス対策ソフトウェアが実行されます。 

この作業中に、研究者らは、「McAfee」フォルダーを作成した後に McAfee ウイルス対策インストーラーを実行すると、標準ユーザーがそのディレクトリを完全に制御できることを発見しました。これにより、ローカル ユーザーはシンボリック リンク攻撃を通じて昇格されたアクセス許可を取得できるようになります。

これに加えて、研究者らは、トレンドマイクロ、フォーティネット、その他のウイルス対策ソリューションにある DLL ハイジャックの欠陥も報告しており、攻撃者が悪意のある DLL ファイルをアプリケーション ディレクトリで実行して権限を昇格させる可能性があります。

恣意的な削除の脆弱性を防ぐために、Cyber​​Ark はインストール フレームワークを更新して DLL ハイジャッキング攻撃を軽減する必要性を強調しました。 

「これらのバグの影響は、多くの場合、ローカル システムの完全な権限昇格につながります。セキュリティ製品の特権レベルは高いため、製品にエ​​ラーが発生すると、マルウェアがその足場を維持し、組織にさらなる損害を与える可能性があります。ここで紹介されたエクスプロイトは実装が簡単ですが、パッチ適用も簡単です」と Cyber​​Ark は結論付けています。。

こちらもお読みください-Android スマートフォン向けの最高の無料アンチウイルス