Эксперты выявили дыры во многих антивирусах (Kaspersky, Avira, Symantec)

Исследователи в области безопасности из CyberArk Labs выявили уязвимости в популярных антивирусных продуктах. В случае успешной эксплуатации эти бреши позволяют атакующим повысить права в системе.

Поскольку антивирусы работают с повышенными привилегиями, изъяны в их коде могут быть особенно опасными. Вредоносные программы, эксплуатирующие такие дыры, способны не только обойти защитные решения, но и прочно укрепиться в атакуемой системе.

По словам экспертов CyberArk Labs, множество популярных антивирусов можно использовать в атаках с помощью техники манипуляции файлами. Среди затронутых продуктов исследователи отметили антивирусы от Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira и Microsoft Defender.

К счастью, на сегодняшний день разработчики уже избавились от опасных лазеек для злоумышленников, однако всё равно полезно будет узнать, с чем мы имели дело.

Как объяснили специалисты, основной причиной являются права по умолчанию директории C:\ProgramData. Эту папку приложения используют для хранения данных, при этом любой пользователь в системе может читать и записывать в этот каталог.

«Логично, что процессы и службы, не привязанные к конкретному пользователю, будут использовать директорию ProgramData. Именно поэтому права на неё настроены таким образом, что любой пользователь может читать и записывать туда, но здесь же есть и брешь — атакующий может удалить определённые файлы из таких папок», — пишут в отчёте эксперты.

Таким образом, злоумышленник может использовать привилегированный процесс для удаления файла и создания символической ссылки на другой произвольный вредоносный файл.

Также исследователи сообщили об уязвимости перехвата DLL в антивирусных продуктах Trend Micro и Fortinet. В этом случае атакующий может «подсунуть» вредоносную DLL в директорию нужного приложения и выполнить её с повышенными правами.

Полный список выявленных проблем безопасности выглядит так:

Kaspersky — CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
McAfee — CVE-2020-7250, CVE-2020-7310
Symantec — CVE-2019-19548
Fortinet — CVE-2020-9290
Checkpoint — CVE-2019-8452
Trend Micro — CVE-2019-19688, CVE-2019-19689 +3
Avira — CVE-2020-13903
Microsoft — CVE-2019-1161

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 09:02

Android Шпионские программы Программы слежения Домашние пользователи Корпорации Google

Google лишает Android-трояны главного инструмента слежки

Google внедряет новую функциональность для улучшения безопасности Android-приложений. Теперь разработчики могут гораздо проще защищать пользователей своего софта от слежки и кражи конфиденциальных данных. В частности, в Android 16 появился новый флаг — accessibilityDataSensitive.

О нововедении разработчики Android рассказали в своём в блоге. Как известно, вредоносные программы часто используют специальные возможности ОС (Accessibility Services) для перехвата паролей и другой важной информации.

Например, банковский троян Anatsa или зловред Copybara активно используют эту лазейку, чтобы красть данные с экранов приложений и передавать их операторам.

С помощью флага accessibilityDataSensitive разработчики могут отмечать элементы интерфейса, которые содержат конфиденциальную информацию. Если установить флаг в значение true, нелегитимные приложения с доступом к Accessibility Services (если у них не установлен флаг isAccessibilityTool=true) не смогут получить доступ к этим данным.

Уже сейчас Google внедрила этот флаг в setFilterTouchesWhenObscured. Это значит, что в тех приложениях, где этот метод уже использовался для защиты от «тапджекинга», элементы автоматически будут считаться защищаемыми. Это добавляет защиту без необходимости усилий со стороны разработчиков.

Google советует использовать либо setFilterTouchesWhenObscured, либо accessibilityDataSensitive для всех экранов, где отображаются конфиденциальные данные — например, страницы входа, формы оплаты и другие элементы с личной информацией. Дополнительную информацию можно найти в статье Google, посвящённой тапджекингу.