Une nouvelle étude de CyberArk a révélé que les produits anti-malware de tous les principaux fournisseurs d’antivirus qu’il a testés pourraient être exploités pour obtenir une élévation de privilèges.
L’entreprise a testé les produits anti-malware de Kaspersky, McAfee, Symantec, Fortinet, Checkpoint, Trend Micro, Avira, Microsoft, Avast et F-Secure pour découvrir qu’ils peuvent tous être abusés pour augmenter les privilèges sur les systèmes des utilisateurs.
C’est assez ironique car les solutions anti-malware sont censées protéger les utilisateurs, mais elles peuvent involontairement aider les logiciels malveillants à obtenir plus de privilèges sur un système. Selon le nouveau billet de blog de CyberArk, de nombreux fournisseurs tombent sous le coup des mêmes types de bogues et les produits anti-malware semblent être plus vulnérables à l’exploitation en raison de leurs privilèges élevés.
Le grand nombre de bogues trouvés dans les produits anti-malware peut être stupéfiant, mais bon nombre de ces bogues peuvent être facilement éliminés si les sociétés de sécurité qui les réalisent mettent en œuvre plusieurs changements.
Sommaire
Bogues anti-malware
La première cause de nombreux bogues trouvés dans les produits anti-malware vient du fait que de nombreuses applications sous Windows utilisent le répertoire ProgramData du système d’exploitation pour stocker des données qui ne sont pas liées à un utilisateur spécifique. Les programmes qui stockent des données liées à un utilisateur spécifique utilisent généralement le répertoire% LocalAppData% qui n’est accessible que par l’utilisateur actuellement connecté.
CyberArk a tenté de répondre à deux questions: que se passe-t-il si un processus non privilégié crée des répertoires / fichiers qui seraient ensuite utilisés par un processus privilégié et que se passe-t-il si vous créez un répertoire / une arborescence de répertoires avant un processus privilégié?
Pour répondre à la première question, la société a examiné l’AV d’Avira, qui comporte deux processus qui écrivent dans le même fichier journal. CyberArk a pu facilement rediriger la sortie de l’opération d’écriture vers n’importe quel fichier souhaité en utilisant une attaque de lien symbolique. Bien que l’entreprise ait utilisé l’AV d’Avira comme exemple, elle a souligné que cette méthode d’élévation des privilèges ne se limite pas à ce produit ou à ce fournisseur uniquement. Pour répondre à la deuxième question, la recherche de CyberArk a révélé que dans 99% des cas, un processus privilégié ne changera pas la DACL (Discretionary Access Control List) d’un annuaire existant.
Le détournement de DLL est un autre moyen par lequel les produits anti-malware peuvent être abusés pour une élévation de privilèges. Cette technique implique qu’un utilisateur standard abuse du chargement de DLL d’un processus privilégié et y injecte du code avec succès.
Pour empêcher l’élévation des privilèges dans les produits anti-malware, CyberArk recommande aux développeurs de modifier les DACL avant utilisation, de corriger l’usurpation d’identité, de mettre à jour le cadre d’installation de leur logiciel et d’utiliser LoadLibraryEX.
