Atur cara Antivirus berleluasa AVGater Exploit untuk mendapatkan pengambilalihan sistem penuh

Computer Security News

Tempahan penyelidik Keselamatan telah menjumpai bukti baru mengeksploitasi konsep yang menyerang atur cara antivirus. Digelar AVGater, pengeksploitasian itu telah menemui satu cara untuk berkompromi meng-kan antivirus untuk mendapatkan kawalan penuh ke atas peranti dijangkiti.

Penyelidik keselamatan yang dinyatakan isu adalah Florian Bogner dari Vienna, Austria. Beliau bernama mengeksploitasi AVGater kerana, katanya, “kelemahan baru setiap keperluan nama dan logo tersendiri.” Menurut Bogner, AVGater beroperasi dengan “memanipulasi proses ambil semula daripada Kuarantin virus.”

“Dengan menyalahgunakan persimpangan direktori NTFS, proses ambil semula Kuarantin AV boleh dimanipulasi, supaya fail-fail sebelum ini dikuarantin boleh ditulis ke lokasi sistem fail sewenang-wenangnya.” – berkongsi Bogner di blognya – “oleh mengambil semula fail sebelum ini dikuarantin, kebenaran sistem perkhidmatan mod pengguna AV Windows akan disalah gunakan, dan Perpustakaan jahat diletakkan dalam folder di mana pengguna sedang log masuk tidak dapat menulis di bawah normal syarat.”

Bogner berkata bahawa beliau dengan serta-merta memaklumkan Emsisoft, makmal Kaspersky, Trend Micro, perisian keselamatan Ikarus membangkitkan, Check Point dan Malwarebytes isu tersebut dan mereka semua sudah dibebaskan memperbaiki produk-produk mereka terjejas. Oleh kerana penyelidik tidak secara khusus menyebut Symantec mahupun McAfee dalam post blog beliau, setakat ini, kedua-duanya dua vendor telah memberi respons kepada soalan-soalan.

Bogner amat mengesyorkan bahawa pengguna menyimpan mereka perisian antivirus dikemaskini bagi mengelakkan sedang diserang oleh AVGater. Walau bagaimanapun, beliau juga menambah bahawa terdapat had kepada pengeksploitasian itu.

“Kerana AVGator hanya boleh dieksploitasi jika pengguna hanya dibenarkan untuk mengambil semula fail-fail yang dikuarantin sebelum ini, saya cadangkan semua orang dalam persekitaran korporat untuk menyekat pengguna biasa dari mengambil semula dikenal pasti ancaman.” -dinyatakan Bogner – “Ini adalah bijak dalam apa jua cara.”

Menurut Mohamad Gupta, pengasas dan CTO Virsec sistem, aplikasi ancaman perisian Syarikat berpangkalan di San Jose, California, AVGater adalah bukti bahawa penyerang telah menemui cara lain yang membolehkan mereka untuk memanipulasi “proses sah untuk melancarkan kod berniat jahat atau skrip.”

“Ianya juga satu lagi paku di keranda scara konvensional berasaskan tandatangan antivirus. Kita telah dikenali untuk sementara waktu yang fileless dan eksploitasi berasaskan ingatan terbang di bawah radar itu kebanyakan AV sistem, tetapi kini penggodam boleh menggunakan alat-alat AV untuk melumpuhkan diri pada dasarnya. “ -Gupta berkata kepada SearchSecurity – “penggodam akan berterusan dan tidak dapat dielakkan akan menemui cara-cara yang bijak untuk melangkau keselamatan perimeter. Pertempuran telah berpindah ke melindungi integriti permohonan untuk proses dan memori eksploitasi. “


Leave a Reply

Your email address will not be published. Required fields are marked *