En ny studie från CyberArk har funnit att anti-malware-produkter från alla stora antivirusleverantörer som den testade kunde utnyttjas för att eskalera privilegier.
Företaget har testat produkter mot skadlig programvara från Kaspersky, McAfee, Symantec, Fortinet, Checkpoint, Trend Micro, Avira, Microsoft, Avast och F-Secure för att finna att alla kan missbrukas för att öka privilegier på användarnas system. användare.
Detta är ganska ironiskt eftersom anti-malware-lösningar är tänkta att skydda användare, men de kan oavsiktligt hjälpa skadlig programvara att få fler privilegier på ett system. Enligt CyberArks nya blogginlägg faller många leverantörer offer för samma typer av buggar och anti-malware-produkter verkar vara mer sårbara för exploatering på grund av deras förhöjda privilegier.
Det stora antalet buggar som finns i produkter mot skadlig programvara kan vara häpnadsväckande, men många av dessa buggar kan enkelt elimineras om säkerhetsföretagen som gör dem genomför flera ändringar.
Anti-malware-fel
Grundorsaken till många fel som hittats i produkter mot skadlig programvara är att många Windows-program använder operativsystemets ProgramData-katalog för att lagra data som inte är relaterad till en specifik användare. Program som lagrar data relaterad till en specifik användare använder vanligtvis %LocalAppData%-katalogen som endast kan nås av den för närvarande inloggade användaren.
CyberArk försökte svara på två frågor: vad händer om en oprivilegierad process skapar kataloger/filer som sedan skulle användas av en privilegierad process och vad händer om den skapar en katalog/träd? av kataloger innan en privilegierad process?
För att svara på den första frågan tittade företaget på Aviras AV, som har två processer som skriver till samma loggfil. CyberArk kunde enkelt omdirigera resultatet av skrivoperationen till valfri önskad fil med hjälp av en symlink-attack. Även om företaget använde Aviras VA som exempel, betonade det att denna privilegiehöjningsmetod inte är begränsad till bara denna produkt eller leverantör. För att besvara den andra frågan fann CyberArk-forskning att 99 % av tiden kommer en privilegierad process inte att ändra DACL (Discretionary Access Control List) för en befintlig katalog.
DLL-kapning är ett annat sätt som anti-malware-produkter kan missbrukas för att eskalera privilegier. Denna teknik innebär att en standardanvändare missbrukar DLL-laddningen av en privilegierad process och injicerar kod i den.
För att förhindra privilegieeskalering i anti-malware-produkter rekommenderar CyberArk att utvecklare modifierar DACL:er innan de används, fixar spoofing, uppdaterar sitt ramverk för programvaruinstallation och använder LoadLibraryEX.