В антивирусах Avast, AVG и Avira найдена уязвимость перехвата DLL
Главная » Новости

В антивирусах Avast, AVG и Avira найдена уязвимость перехвата DLL

Олег Иванов 24 Октября 2019 - 09:42
...
В антивирусах Avast, AVG и Avira найдена уязвимость перехвата DLL

Уязвимости в антивирусных программах Avast, AVG и Avira могут быть использованы для загрузки вредоносной DLL, благодаря которой у злоумышленника откроется возможность для обхода функций защиты и повышения прав в системе.

По словам сотрудников SafeBreach Labs, обнаруживших проблему безопасности, все версии Avast Antivirus и AVG Antivirus содержат брешь, получившую идентификатор CVE-2019-17093.

Атакующий может обойти антивирусную защиту и повысить свои права в системе за счёт эксплуатации CVE-2019-17093.

«Эту уязвимость также можно использовать для укрепления вредоноса в системе. В частности, мы можем продемонстрировать, как неподписанная DLL-библиотека внедряется во множество процессов, запущенных с правами NT AUTHORITY\SYSTEM», — гласит отчёт SafeBreach Labs.

Например, процесс AVGSvc.exe, по словам исследователей, при запуске пытается загрузить файл wbemcomn.dll из директории C:\Windows\System32\wbem\wbemcomn.dll. При этом библиотеки нет по этому пути, на самом деле она находится в папке System32.

Компонент защиты антивирусом своих процессов можно обойти, поместив DLL-файл в незащищенную директорию, из которой приложение пытается загрузить свои модули.

«Если мы сможем помесить неподписанную DLL в незащищенную папку, у нас получится обойти механизм самозащиты антивируса».

В результате команда SafeBreach Labs создала свой DLL-файл на базе легитимной версии wbemcomn.dll. Затем его поместили в C:\Program Files\System32\ с возможностью запуска с правами администратора.

Специалисты подчеркнули, что уязвимость актуальна для всех версий Avast Antivirus, а также для AVG Antivirus ниже версии 19.8. Разработчики устранили эту проблему с выходом патча от 26 сентября.

Помимо этого, эксперты выявили похожую брешь в Avira Antivirus 2019, получившую идентификатор CVE-2019-17449.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

F6 запустила сервис SOC MDR для проактивной защиты от кибератак
Екатерина Быстрова 17 Июля 2025 - 10:59
Корпорации Услуги по информационной безопасностиУслуги по аутсорсингу информационной безопасностиУслуги коммерческих Security Operations Center (SOC)Managed Detection and Response (MDR) F6
F6 запустила сервис SOC MDR для проактивной защиты от кибератак

Компания F6 представила новый сервис — SOC MDR (Managed Detection and Response), ориентированный на выявление и нейтрализацию киберугроз в реальном времени. Сервис разработан в ответ на рост числа и сложности атак и позволяет не только отслеживать подозрительную активность, но и оперативно реагировать на инциденты, включая изоляцию устройств и восстановление инфраструктуры.

Уязвим внешний периметр

По оценкам специалистов F6, 9 из 10 российских компаний имеют уязвимости на внешнем периметре — именно эти зоны всё чаще становятся точками входа для атакующих.

Новый сервис делает акцент на централизованном мониторинге внешней инфраструктуры — его сложнее организовать силами только внутренней ИБ-команды.

В рамках SOC MDR F6 не просто выявляет открытые сервисы, конфигурационные ошибки и уязвимости — каждая проблема проходит отдельную проверку на предмет возможной компрометации. Это позволяет убедиться, что злоумышленники не воспользовались обнаруженными «дырами».

Реакция без задержек

Отличие SOC MDR от классических SOC-моделей — в том, что команда F6 не ограничивается мониторингом, а сама принимает решения по реагированию. В случае инцидента специалисты изолируют атакованные устройства, блокируют учётные записи и инструменты, а при необходимости проводят восстановление инфраструктуры.

Внутренняя сеть — главный фронт

Как подчёркивают в F6, основной удар при целевых атаках приходится на внутреннюю сеть. И здесь критичны не столько сами средства защиты, сколько скорость реагирования и квалификация команды. Именно в этот момент традиционные SOC часто передают задачу клиенту — тогда как SOC MDR берёт её на себя.

Поддержка киберразведкой и расследование инцидентов

SOC MDR использует данные собственной системы киберразведки F6 Threat Intelligence, чтобы оперативно отслеживать новые тактики и инструменты атакующих. При этом сервис не конфликтует с уже внедрёнными у заказчика средствами ИБ — они могут быть интегрированы в общую архитектуру.

Кроме реагирования, SOC MDR обеспечивает полное расследование инцидентов — с разбором хронологии и анализом причин. Это помогает понять, откуда началась атака и насколько глубоко удалось проникнуть злоумышленникам, чтобы предотвратить повторные инциденты в будущем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Дипфейки и боты атакуют российскую логистику
Новость
Дипфейки и боты атакуют российскую логистику
Минцифры готовит ужесточение критериев для реестрового ПО
Новость
Минцифры готовит ужесточение критериев для реестрового ПО
Новый Android-шпион GhostSpy крадёт данные и блокирует удаление
Новость
Новый Android-шпион GhostSpy крадёт данные и блокирует удале...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.