WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Phát hiện lỗ hổng mới trong các phần mềm diệt virus phổ biến
Các nhà nghiên cứu bảo mật của CyberArk vừa công bố báo cáo về lỗ hổng trong các phần mềm diệt virus phổ biến, có thể cho phép kẻ tấn công leo thang đặc quyền, qua đó giúp mã độc “sống sót” trên các hệ thống bị xâm nhập.
Các lỗi được công bố ảnh hưởng đến rất nhiều giải pháp diệt virus, trong đó có Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira và Microsoft Defender, đã được các nhà phát triển cập nhật bản vá tương ứng cho từng sản phẩm.
Nghiêm trọng nhất là lỗi cho phép xóa các file từ các vị trí tùy ý, tạo điều kiện cho kẻ tấn công loại bỏ bất kỳ file nào trên hệ thống. Nghiêm trọng không kém là lỗ hổng xáo trộn file (file corruption), cho phép xóa nội dung của file trên hệ thống.
Các lỗi bắt nguồn từ các DACL mặc định (Discretionary Access Control Lists – Danh sách điều khiển truy cập tùy quyền) dành cho thư mục "C:\ProgramData” của Windows, vốn được dùng để lưu trữ dữ liệu người dùng tiêu chuẩn mà không cần cấp quyền bổ sung.
Khi đó mọi người dùng đều có hai quyền ghi và xóa ở mức độ cơ bản trong thư mục. Trong trường hợp một, tiến trình không có đặc quyền tạo một thư mục mới trong “ProgramData”, thư mục đó có thể được truy cập bởi một tiến trình đặc quyền, làm tăng khả năng tấn công leo thang đặc quyền.
Danh sách các lỗ hổng trong các AV phổ biếnTrong một trường hợp cụ thể, các nhà nghiên cứu quan sát được hai tiến trình khác nhau, một có đặc quyền và một tiến trình khác chạy với tư cách người dùng local hợp pháp, cùng chia sẻ file log có khả năng cho phép kẻ tấn công khai thác tiến trình đặc quyền để xóa file và tạo một liên kết tượng trưng (symlink) trỏ đến bất kỳ file độc hại nào.
Từ đó, các nhà nghiên cứu cũng phát hiện ra khả tặng tạo một thư mục mới trong "C:\ProgramData" trước khi tiến trình đặc quyền được thực thi.
Với AV của McAfee, các nhà nghiên cứu phát hiện ra rằng khi trình cài đặt của phần mềm được chạy sau khi tạo thư mục “McAfee”, người dùng tiêu chuẩn sẽ có quyền kiểm soát toàn bộ thư mục, cho phép người dùng local chiếm quyền leo thang bằng cách thực hiện tấn công symlink.
Tồi tệ hơn, lỗ hổng chiếm quyền điều khiển DLL trong AV của Trend Micro, Fortinet và các giải pháp khác có thể bị tin tặc khai thác để đưa một file DLL độc hại vào trong thư mục của phần mềm và thực hiện leo thang đặc quyền.
Theo CyberArk, các danh sách kiểm soát truy cập cần phải được hạn chế để ngăn chặn các lỗ hổng xóa file tùy ý và cần phải cập nhật các bản framework để giảm nhẹ các cuộc tấn công DLL.
Tuy đã có bản vá cho các lỗ hổng nhưng vụ việc này cũng là lời nhắc nhở về điểm yếu của phần mềm AV.
Các lỗi được công bố ảnh hưởng đến rất nhiều giải pháp diệt virus, trong đó có Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira và Microsoft Defender, đã được các nhà phát triển cập nhật bản vá tương ứng cho từng sản phẩm.
Nghiêm trọng nhất là lỗi cho phép xóa các file từ các vị trí tùy ý, tạo điều kiện cho kẻ tấn công loại bỏ bất kỳ file nào trên hệ thống. Nghiêm trọng không kém là lỗ hổng xáo trộn file (file corruption), cho phép xóa nội dung của file trên hệ thống.
Các lỗi bắt nguồn từ các DACL mặc định (Discretionary Access Control Lists – Danh sách điều khiển truy cập tùy quyền) dành cho thư mục "C:\ProgramData” của Windows, vốn được dùng để lưu trữ dữ liệu người dùng tiêu chuẩn mà không cần cấp quyền bổ sung.
Khi đó mọi người dùng đều có hai quyền ghi và xóa ở mức độ cơ bản trong thư mục. Trong trường hợp một, tiến trình không có đặc quyền tạo một thư mục mới trong “ProgramData”, thư mục đó có thể được truy cập bởi một tiến trình đặc quyền, làm tăng khả năng tấn công leo thang đặc quyền.
Danh sách các lỗ hổng trong các AV phổ biến
Từ đó, các nhà nghiên cứu cũng phát hiện ra khả tặng tạo một thư mục mới trong "C:\ProgramData" trước khi tiến trình đặc quyền được thực thi.
Với AV của McAfee, các nhà nghiên cứu phát hiện ra rằng khi trình cài đặt của phần mềm được chạy sau khi tạo thư mục “McAfee”, người dùng tiêu chuẩn sẽ có quyền kiểm soát toàn bộ thư mục, cho phép người dùng local chiếm quyền leo thang bằng cách thực hiện tấn công symlink.
Tồi tệ hơn, lỗ hổng chiếm quyền điều khiển DLL trong AV của Trend Micro, Fortinet và các giải pháp khác có thể bị tin tặc khai thác để đưa một file DLL độc hại vào trong thư mục của phần mềm và thực hiện leo thang đặc quyền.
Theo CyberArk, các danh sách kiểm soát truy cập cần phải được hạn chế để ngăn chặn các lỗ hổng xóa file tùy ý và cần phải cập nhật các bản framework để giảm nhẹ các cuộc tấn công DLL.
Tuy đã có bản vá cho các lỗ hổng nhưng vụ việc này cũng là lời nhắc nhở về điểm yếu của phần mềm AV.
Theo The Hacker News
