Phát hiện lỗ hổng mới trong các phần mềm diệt virus phổ biến

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 08/10/20, 01:10 AM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 336
    Đã được thích: 117
    Điểm thành tích:
    43
    Các nhà nghiên cứu bảo mật của CyberArk vừa công bố báo cáo về lỗ hổng trong các phần mềm diệt virus phổ biến, có thể cho phép kẻ tấn công leo thang đặc quyền, qua đó giúp mã độc “sống sót” trên các hệ thống bị xâm nhập.
    antivirus_1.jpg

    Các lỗi được công bố ảnh hưởng đến rất nhiều giải pháp diệt virus, trong đó có Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira và Microsoft Defender, đã được các nhà phát triển cập nhật bản vá tương ứng cho từng sản phẩm.

    Nghiêm trọng nhất là lỗi cho phép xóa các file từ các vị trí tùy ý, tạo điều kiện cho kẻ tấn công loại bỏ bất kỳ file nào trên hệ thống. Nghiêm trọng không kém là lỗ hổng xáo trộn file (file corruption), cho phép xóa nội dung của file trên hệ thống.

    Các lỗi bắt nguồn từ các DACL mặc định (Discretionary Access Control Lists – Danh sách điều khiển truy cập tùy quyền) dành cho thư mục "C:\ProgramData” của Windows, vốn được dùng để lưu trữ dữ liệu người dùng tiêu chuẩn mà không cần cấp quyền bổ sung.

    Khi đó mọi người dùng đều có hai quyền ghi và xóa ở mức độ cơ bản trong thư mục. Trong trường hợp một, tiến trình không có đặc quyền tạo một thư mục mới trong “ProgramData”, thư mục đó có thể được truy cập bởi một tiến trình đặc quyền, làm tăng khả năng tấn công leo thang đặc quyền.

    antivirus_2.png
    Danh sách các lỗ hổng trong các AV phổ biến
    Trong một trường hợp cụ thể, các nhà nghiên cứu quan sát được hai tiến trình khác nhau, một có đặc quyền và một tiến trình khác chạy với tư cách người dùng local hợp pháp, cùng chia sẻ file log có khả năng cho phép kẻ tấn công khai thác tiến trình đặc quyền để xóa file và tạo một liên kết tượng trưng (symlink) trỏ đến bất kỳ file độc hại nào.

    Từ đó, các nhà nghiên cứu cũng phát hiện ra khả tặng tạo một thư mục mới trong "C:\ProgramData" trước khi tiến trình đặc quyền được thực thi.

    Với AV của McAfee, các nhà nghiên cứu phát hiện ra rằng khi trình cài đặt của phần mềm được chạy sau khi tạo thư mục “McAfee”, người dùng tiêu chuẩn sẽ có quyền kiểm soát toàn bộ thư mục, cho phép người dùng local chiếm quyền leo thang bằng cách thực hiện tấn công symlink.

    Tồi tệ hơn, lỗ hổng chiếm quyền điều khiển DLL trong AV của Trend Micro, Fortinet và các giải pháp khác có thể bị tin tặc khai thác để đưa một file DLL độc hại vào trong thư mục của phần mềm và thực hiện leo thang đặc quyền.

    Theo CyberArk, các danh sách kiểm soát truy cập cần phải được hạn chế để ngăn chặn các lỗ hổng xóa file tùy ý và cần phải cập nhật các bản framework để giảm nhẹ các cuộc tấn công DLL.

    Tuy đã có bản vá cho các lỗ hổng nhưng vụ việc này cũng là lời nhắc nhở về điểm yếu của phần mềm AV.

     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    hanhkhat thích bài này.
  2. Judah Hale

    Judah Hale Member

    Tham gia: 29/06/20, 11:06 AM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    Cách kiểm tra AV đã được cập nhật bản vá chưa như nào vậy admin?
    Cảm ơn admin nhiều.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 336
    Đã được thích: 117
    Điểm thành tích:
    43
    Các AV đều có cơ chế cập nhật tự động rồi bạn, bạn kiểm tra xem AV của mình xem đã chạy phiên bản mới nhất chưa nhé.:)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Judah Hale thích bài này.
  4. hanhkhat

    hanhkhat Member

    Tham gia: 29/08/20, 08:08 AM
    Bài viết: 8
    Đã được thích: 2
    Điểm thành tích:
    3
    Hiện tại mình dùng Window defender trên win 10 chắc ổn hơn mấy thằng khác. Nhẹ mà quét cũng ngon nữa
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan