Уязвимость в популярных антивирусах позволяет повысить привилегии

Олег Иванов 14 Ноября 2017 - 09:44

Домашние пользователи

Check Point

Trend Micro

Лаборатория Касперского

vGate

Уязвимости программ

...

Уязвимость в популярных антивирусах позволяет повысить привилегии

Функция карантина вредоносных программ в нескольких антивирусных продуктах могла быть локально использована злоумышленниками для получения административных привилегий на компьютерах.

Проблема, получившая название AVGater, была обнаружена Флорианом Богнером (Florian Bogner), исследователем в фирме Kapsch. Эта брешь использует возможность пользователя восстанавливать подозрительные файлы, которые антивирусные продукты помещают в карантин.

Богнер нашел способ обмануть несколько антивирусных продуктов, восстановив подозрительные файлы из карантина в разные каталоги. Это может иметь серьезные последствия для безопасности.

В зависимости от настроек того или иного антивируса, при обнаружении потенциально вредоносного файла, он помещает этот файл в безопасное хранилище, называемое карантином. Также известно наличие функции, позволяющей пользователям восстанавливать файлы из карантина, что помогает в случае ложного детектирования.

По словам Богнера, локальный злоумышленник может использовать функцию соединения каталогов NTFS для создания символической ссылки, которая сопоставляет исходный каталог с C:\Windows или другой системной папкой.

У обычных пользователей обычно нет разрешения на запись в системные папки, но антивирусные продукты работают с системными привилегиями. Таким образом, злоумышленник может использовать привилегии антивируса, чтобы обойти это ограничение и поместить восстановленный файл в системную папку.

Этот метод можно комбинировать с перехватом пути поиска DLL — еще одной распространенной проблемой, котоаря приводит к повышению првилегий. Богнер утверждает, что продукты Trend Micro, Лаборатории Касперского, Malwarebytes, Emsisoft, Check Point и Ikarus уязвимы для AVGater.

«Поскольку AVGator может быть использована только в том случае, если пользователю разрешено восстанавливать файлы из карантина, я рекомендую всем в рамках корпоративной среды блокировать эту возможность пользователей», — пишет Богнер в блоге.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 30 Октября 2025 - 14:58

Эксплойты Уязвимости программ Общее Google

Brash: новая уязвимость в Chromium роняет браузеры и замораживает ПК

В браузерах на базе Chromium нашли критическую ошибку, из-за которой можно за несколько секунд «уронить» весь браузер, а иногда и привести к зависанию ОС. Уязвимость выявил исследователь Хосе Пино, опубликовав на GitHub соответствующий эксплойт под названием Brash.

Brash затрагивает Blink — движок рендеринга, на котором работают Chrome, Edge, Brave, Vivaldi и другие популярные браузеры. По данным StatCounter, Chrome используют более 3 млрд человек по всему миру, так что масштабы проблемы огромные.

Пино проверил свой эксплойт на 11 браузерах под Android, macOS, Windows и Linux — и в девяти из них браузер «падал» за 15-60 секунд. Проблема наблюдается в версиях Chromium 143.0.7483.0 и выше.

Причина проста: Blink не ограничивает частоту обновления document.title — элемента, отвечающего за заголовок вкладки. Это позволяет загружать миллионы изменений в секунду, перегружая основной поток браузера. В результате интерфейс зависает, вкладки перестают отвечать, а через полминуты программа полностью вылетает.

В издании The Register протестировали Brash на Microsoft Edge — браузер не только рухнул через полминуты, но и «съел» 18 ГБ оперативной памяти одной вкладкой, после чего зависла вся система.

По словам Пино, он сообщил об ошибке команде Chromium ещё 28 августа, а затем повторно — 30 августа, но ответа так и не получил. Он считает, что проблему придётся устранять каждой компании отдельно, поскольку они вносят свои изменения в Chromium.

В списке уязвимых браузеров — Chrome, Edge, Brave, Vivaldi, Opera, Arc, Dia, Perplexity Comet и ChatGPT Atlas. Только Google и Brave ответили журналистам: первая изучает проблему, вторая пообещала выпустить фикс, когда он появится в Chromium.

Браузеры, использующие другие движки — Firefox (Gecko) и Safari (WebKit), а также все браузеры на iOS — уязвимости не подвержены.

Пино пояснил, что решил опубликовать PoC, потому что два месяца ожидания без реакции со стороны разработчиков — слишком долго. По его словам, публичность поможет ускорить исправление проблемы, которая затрагивает миллиарды пользователей.

Уязвимость в популярных антивирусах позволяет повысить привилегии

Читайте также