Главная » Хабрахабр » Критическая уязвимость в антивирусных продуктах компании Zemana и не только

Критическая уязвимость в антивирусных продуктах компании Zemana и не только

Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой.

Уупс
Обнаруженная уязвимость содержится в процедуре обновления антивирусного продукта. Файлы конфигурации обновления передаются по обычному http соединению и могут быть прочтены человеком(что не является уязвимостью). В ответах от серверов компании были обнаружены ссылки на файлы обновлений, которые антивирус исполняет при обнаружении новой версии.


Update url

Очень удивительным является тот факт, что даже простая подмена URL файла на сторонний приводила к странному предупреждению антивируса.


Вы хотите выполнить какой-то файл с правами системы?

Причем это мог быть не обязательно пользователь, обладающий привилегиями администратора. Если пользователь, не заметив подвоха, соглашался, то антивирус выполнял загрузку стороннего файла на компьютер и выполнял его с SYSTEM привилегиями.

Посмотрим возможность обхода этого уведомления. Однако, наврятли кто в здравом уме будет соглашаться устанавливать такое «обновление». Давайте посмотрим на функцию «ZmnAppUpdater» и увидим интересный участок места вызова функции «SignatureChecker» в файле ZAM.exe Все файлы обновлений подписаны цифровой подписью и должны быть верифицированы перед исполнением.


Пропущенная проверка

Однако в функции «ZmnAppUpdater» авторы забыли это сделать(результат EAX = 0x80096010 (TRUST_E_BAD_DIGEST)). Данная функция должна проводить верификацию цифровой подписи exe файла и возвращать код результата проверки. Клонируем Security directory оригинального файла обновления в поддельный файл обновления и наплевать на то, что цифровая подпись не может быть верифицирована операционной системой. Таким образом, возможно выполнить произвольный код на удаленной системе с правами SYSTEM без взаимодействия с пользователем всего лишь выполнив атаку «man in the middle». Антивирус проверяет лишь на чьё имя выписан сертификат, но не его целостность.

Уязвимость с идентификатором CVE-2019-6440 была исправлена начиная с версий 3.x(beta).

С момента передачи информации об уязвимости до её фактического исправления(начиная с версий 3x) прошло около года. Отмечу ещё один интересный момент. Представители компании сообщили, что уязвимость достаточно сложно обнаружить, в разработке новая мажорная версия и компания не планирует выпускать патчи, так как имеет более 20 ребрендинг партнеров. Уязвимость присутствует во всех продуктах компании, однако выход экстренного патча было решено отложить до выпуска новой мажорной версии. Более того, компания, зная о наличии уязвимости, продолжает активное продвижение версий с уязвимым кодом до сих пор. Конечно, во всех продуктах компаний-партнёров уязвимость присутствует.

Казалось бы, компания, занимающаяся информационной безопастностью, должна была как можно скорее выпустить обновления, однако это не так и безопастность клиентов не очень то её и волнует.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Язык Bosque — новый язык программирования от Microsoft

Языку дали название Bosque. Буквально несколько дней назад компания Microsoft представила публике новый язык программирования. Главная миссия дизайна языка — лучше быть богатым и здоровым, чем бедным и больным чтобы он был прост и понятен как для человека, так и ...

Как не слить 10 миллионов бюджета вашего заказчика, играясь с Agile

В этом посте я расскажу о тех проблемах с которыми в течении года сталкивалась наша Scrum Front End команда при работе над приличным проектом. Мы начинали разрабатывать проект с нуля используя стек технологий React + Typescript. Оглядываясь назад я вижу ...