Уязвимость в популярных антивирусах позволяет повысить привилегии
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Уязвимость в популярных антивирусах позволяет повысить привилегии

Олег Иванов 14 Ноября 2017 - 09:44
...
Уязвимость в популярных антивирусах позволяет повысить привилегии

Функция карантина вредоносных программ в нескольких антивирусных продуктах могла быть локально использована злоумышленниками для получения административных привилегий на компьютерах.

Проблема, получившая название AVGater, была обнаружена Флорианом Богнером (Florian Bogner), исследователем в фирме Kapsch. Эта брешь использует возможность пользователя восстанавливать подозрительные файлы, которые антивирусные продукты помещают в карантин.

Богнер нашел способ обмануть несколько антивирусных продуктов, восстановив подозрительные файлы из карантина в разные каталоги. Это может иметь серьезные последствия для безопасности.

В зависимости от настроек того или иного антивируса, при обнаружении потенциально вредоносного файла, он помещает этот файл в безопасное хранилище, называемое карантином. Также известно наличие функции, позволяющей пользователям восстанавливать файлы из карантина, что помогает в случае ложного детектирования.

По словам Богнера, локальный злоумышленник может использовать функцию соединения каталогов NTFS для создания символической ссылки, которая сопоставляет исходный каталог с C:\Windows или другой системной папкой.

У обычных пользователей обычно нет разрешения на запись в системные папки, но антивирусные продукты работают с системными привилегиями. Таким образом, злоумышленник может использовать привилегии антивируса, чтобы обойти это ограничение и поместить восстановленный файл в системную папку.

Этот метод можно комбинировать с перехватом пути поиска DLL — еще одной распространенной проблемой, котоаря приводит к повышению првилегий. Богнер утверждает, что продукты Trend Micro, Лаборатории Касперского, Malwarebytes, Emsisoft, Check Point и Ikarus уязвимы для AVGater.

«Поскольку AVGator может быть использована только в том случае, если пользователю разрешено восстанавливать файлы из карантина, я рекомендую всем в рамках корпоративной среды блокировать эту возможность пользователей», — пишет Богнер в блоге.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Runtime Radar: на GitHub появился код инструмента для защиты контейнеров
Екатерина Быстрова 30 Октября 2025 - 11:56
Малый и средний бизнесКорпорации Сетевая безопасностьЗащита контейнерных сред (Container Security) Positive Technologies
Runtime Radar: на GitHub появился код инструмента для защиты контейнеров

Компания Positive Technologies опубликовала на GitHub собственный продукт с открытым исходным кодом для мониторинга безопасности и реагирования на инциденты в контейнерных средах. Инструмент под названием Runtime Radar помогает отслеживать активность в контейнерах и выявлять подозрительные процессы, сетевые соединения и изменения прав доступа.

Как отмечают в компании, идея проекта — сделать базовый контроль над контейнерной инфраструктурой доступным даже для небольших команд, которым не подходят сложные или дорогие коммерческие системы.

Контейнерные технологии вроде Kubernetes сегодня стали стандартом для развёртывания приложений. Но вместе с ростом их популярности увеличилось и число атак, направленных на среду выполнения — например, на этапе, когда приложение уже запущено.

По словам специалистов, именно этот уровень остаётся уязвимым: большинство инструментов безопасности по-прежнему сосредоточены на стадии разработки и сборки.

Runtime Radar построен на технологиях eBPF и Tetragon, что позволяет в реальном времени анализировать события внутри контейнеров. Система поддерживает централизованное управление несколькими кластерами и интеграцию с уже существующими средствами мониторинга через syslog, SMTP и webhook.

В Positive Technologies говорят, что открытие кода Runtime Radar — часть их инициативы по развитию open-source в области кибербезопасности. Проект уже вызвал интерес у специалистов по ИТ-мониторингу и команд SOC. В будущем разработчики планируют дополнять инструмент новыми функциями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Библиотеку GMP уличили в порче топовых процессоров AMD
Новость
Библиотеку GMP уличили в порче топовых процессоров AMD
Google представила CodeMender — ИИ, который сам патчит уязвимости в коде
Новость
Google представила CodeMender — ИИ, который сам патчит уязви...
В октябре стартует CyberCamp 2025, ключевая тема — киберустойчивость
Новость
В октябре стартует CyberCamp 2025, ключевая тема — киберусто...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.