Vários produtos antivírus são afetados por uma falha de design
DARKNET BRASIL
Vários produtos antivírus são afetados por uma falha de design que permite que o malware ou um invasor local abuse do recurso "restaurar da quarentena" para enviar malwares previamente detectados em áreas sensíveis do sistema operacional do usuário, ajudando o malware a aumentar a persistência de inicialização com privilégios elevados.
Florian Bogner, um auditor de segurança da Kapsch, uma empresa austríaca de segurança cibernética, descobriu a falha, que ele acompanha sob o nome de código da AVGater .
Alguns fornecedores de antivírus emitiram atualizações
Bogner diz que notificou todos os fabricantes de antivírus que ele testou e achou vulneráveis. Hoje, o pesquisador publicou suas descobertas depois que algumas empresas emitiram atualizações.
A lista inclui Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, Ikarus e Zone Alarm por Check Point.
Ele diz que outras empresas vão lançar soluções nos próximos dias, e que ele não exclui que outros motores AV que ele não testou também podem ser vulneráveis.
Como o AVGater funciona
Para entender melhor a forma como a falha funciona, é mais fácil estabelecer um cenário de exploração bem sucedido:
Passo 1 - O usuário fica infectado com malware
Etapa 2 - O mecanismo AV detecta malware
Etapa 3 - O motor AV move o malware para a quarentena
Etapa 4 - Um invasor local com acesso não administrativo executa uma exploração no sistema afetado. Este código de exploração usa junções de diretório NTFS para manipular a localização do arquivo original da amostra em quarentena.
Passo 5 - O atacante inicia uma operação "Restaurar da quarentena".
Passo 6- O arquivo infectado é enviado de volta para sua localização, mas a junção NTFS retransmite esse arquivo para uma pasta sensível dentro de C: \ Windows. Um usuário que não seja administrador não seria capaz de copiar arquivos dentro desta pasta, mas os programas antivírus funcionam sob os privilégios do sistema, o que significa que o arquivo restaurado da quarentena será enviado para essa pasta sem disparar erros ou alertas.
Passo 7 - Porque alguns serviços do Windows ou processos principais são projetados para carregar / executar todas as DLLs armazenadas em diretórios específicos do Windows, quando o usuário reiniciar seu PC na próxima vez, o arquivo em quarentena anterior será executado na inicialização como parte de um serviço do Windows ou listado na lista branca aplicativo.
Todo o ataque é devidamente inteligente, permitindo a persistência de inicialização e a escalação de privilégios, mas ainda depende de invasores com acesso físico à máquina, uma séria limitação na maioria dos casos.
No entanto, existem cenários em que o AVGater pode ser útil. Por exemplo, em ambientes públicos, educacionais ou governamentais compartilhados onde os usuários compartilham computadores, em caixas eletrônicos baseados em Windows e outros.
O Bogner, que publicou um código de prova de conceito para explorar o Emsisoft e Malwarebytes AVs, diz que os usuários podem impedir o AVGater sempre atualizando seus produtos antivírus e, no caso de ambientes empresariais, não permitindo aos usuários restaurar arquivos de quarentena.