Уязвимость в популярных антивирусах позволяет повысить привилегии

Уязвимость в популярных антивирусах позволяет повысить привилегии

Уязвимость в популярных антивирусах позволяет повысить привилегии

Функция карантина вредоносных программ в нескольких антивирусных продуктах могла быть локально использована злоумышленниками для получения административных привилегий на компьютерах.

Проблема, получившая название AVGater, была обнаружена Флорианом Богнером (Florian Bogner), исследователем в фирме Kapsch. Эта брешь использует возможность пользователя восстанавливать подозрительные файлы, которые антивирусные продукты помещают в карантин.

Богнер нашел способ обмануть несколько антивирусных продуктов, восстановив подозрительные файлы из карантина в разные каталоги. Это может иметь серьезные последствия для безопасности.

В зависимости от настроек того или иного антивируса, при обнаружении потенциально вредоносного файла, он помещает этот файл в безопасное хранилище, называемое карантином. Также известно наличие функции, позволяющей пользователям восстанавливать файлы из карантина, что помогает в случае ложного детектирования.

По словам Богнера, локальный злоумышленник может использовать функцию соединения каталогов NTFS для создания символической ссылки, которая сопоставляет исходный каталог с C:\Windows или другой системной папкой.

У обычных пользователей обычно нет разрешения на запись в системные папки, но антивирусные продукты работают с системными привилегиями. Таким образом, злоумышленник может использовать привилегии антивируса, чтобы обойти это ограничение и поместить восстановленный файл в системную папку.

Этот метод можно комбинировать с перехватом пути поиска DLL — еще одной распространенной проблемой, котоаря приводит к повышению првилегий. Богнер утверждает, что продукты Trend Micro, Лаборатории Касперского, Malwarebytes, Emsisoft, Check Point и Ikarus уязвимы для AVGater.

«Поскольку AVGator может быть использована только в том случае, если пользователю разрешено восстанавливать файлы из карантина, я рекомендую всем в рамках корпоративной среды блокировать эту возможность пользователей», — пишет Богнер в блоге.

Банковские карты россиян возьмут на карандаш

Банк России взялся за год создать единый реестр платежных карт с тем, чтобы облегчить кредитно-финансовым организациям соблюдение планируемых к вводу лимитов: до 20 карт у гражданина, до пяти в одном банке.

О намерении ЦБ запустить в будущем году такой справочник для отрасли стало известно из выступления в Думе замглавы Минцифры Ивана Лебедева. С его слов, оба регулятора вместе прорабатывали этот вопрос.

«Вы знаете, что это ограничение по банкам — по картам, — цитирует РИА Новости спикера. — Центральный банк взял на себя обязательство в течение года подготовить базу единую по всей стране, из которой будет видно, сколько у каждого гражданина в каком банке оформлено карт.

В конце прошлого года в Госдуму был внесен второй пакет законопроектов в рамках борьбы с кибермошенничеством. В числе прочих мер противодействия было предложено ограничить число банковских карт — до 20 на человека, не более пяти одного и того же эмитента.

Для контроля соблюдения этого требования, способного сдержать рост числа дропов, планировалось запустить специальный сервис.

Напомним, дропперство в России является уголовно наказуемым деянием. Пособникам в проведении мошеннических операций грозит до трёх лет лишения свободы, организаторам схемы — до шести лет.

RSS: Новости на портале Anti-Malware.ru