11 - 10 - 2020
هشدار درباره نقصهای امنیتی آنتیویروسهای مشهور
محققان جزئیات چندین نقص امنیتی در آنتیویروسهای مشهور را افشا کردهاند که اکسپلویت این نقصهای امنیتی، امکان افزایش مجوز دسترسی را برای هکرها فراهم میآورد.به گزارش ایسنا، آنتیویروسها که باید از آلوده شدن سیستمها جلوگیری کنند، ممکن است ناخواسته به بدافزار اجازه افزایش مجوز دسترسی در سیستم را بدهند. از آنجاییکه آنتیویروسها با مجوز دسترسی بالا اجرا میشوند؛ بنابراین هرگونه بهرهبرداری از نقص این محصولات میتواند منجر به افزایش مجوز دسترسی و انجام افعال مخربانه متعدد شود.طبق اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای)، چندین محصول ضدبدافزار (anti-malware) از جمله آنتیویروسهایKaspersky ،McAfee،Symantec ، Check Point، Fortinet، Trend Micro، Avira و Microsoft Defender تحت تاثیر این نقصها قرار دارند.لیست کنترل دسترسی اختیاری (DACL) پیشفرض دایرکتوری C:\ProgramData یکی از دلایل اصلی بسیاری نقصها در این آنتیویروسهاست. برنامهها برای ذخیره داده در ویندوز از دایرکتوری ProgramData استفاده میکنند. هر کاربری حق دسترسی نوشتن/خواندن در این دایرکتوری را دارد؛ برعکس دایرکتوری LocalAppData که تنها توسط کاربر احراز هویت قابل دسترس است. افزایش مجوز دسترسی زمانی رخ میدهد که فرآیند غیرمجاز (non-privileged) دایرکتوری جدیدی در ایجاد میکند که بعدها توسط فرآیند دارای مجوز مورد استفاده قرار میگیرد. دقیقا شبیه روالی که در آنتیویروسها رخ میدهد.محققان آزمایشگاه CyberArk نشان دادند که چگونه در آنتیویروس Avira یک فایل لاگ مشترک که توسط دو فرآیند مختلف اجرا میشد، منجر به اکسپلویت فرآیند با مجوز بالا شده است که در نتیجه این اکسپلویت امکان حذف فایل و ایجاد لینک نمادین (Symbolic Link) به هر فایل اختیاری با محتویات مخرب فراهم شده است. همچنین این متخصصان نشان دادند که اکسپلویت آنتیویروسهای Trend Micro، Fortinet و چند آنتیویروس دیگر اجازه قرار دادن فایل DLL مخرب در دایرکتوری application و افزایش حق دسترسی را میدهد.
لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد