Programy antywirusowe nadużyć AVGater Exploit Aby uzyskać pełny System przejęcie

Computer Security News

Badacze systemów zabezpieczeń natknąć niedawno nowy dowód wykorzystania koncepcji, która atakuje programów antywirusowych. Mianem AVGater, wykorzystać znalazł sposób na złamanie zabezpieczeń antywirusowych kwarantann Aby uzyskać pełną kontrolę nad zainfekowanym urządzeniu.

Analityka systemów zabezpieczeń, który ujawniony problem był Florian Bogner od Wiednia, Austria. Nazwał wykorzystać AVGater, bo, jak mówi, “co nowe luki musi własną nazwę i logo”. Według Bogner AVGater działa przez “manipulowanie proces przywracania z kwarantanny wirusa.”

“Nadużywając skrzyżowania katalogu systemu plików NTFS, proces przywracania kwarantanny AV można manipulować, tak, że wcześniej poddane kwarantannie pliki mogą być zapisywane do dowolnego pliku system lokalizacji.” – wspólne Bogner w swoim blogu – “przywracając plik wcześniej poddany kwarantannie, wykorzystywane są uprawnienia systemu AV Windows użytkownika tryb usługi, i złośliwego biblioteki jest umieszczony w folderze gdzie aktualnie zalogowany użytkownik jest w stanie napisać w normalnych warunków.”

Bogner powiedział, że poinformował natychmiast Emsisoft, Kaspersky Lab, Trend Micro, Ikarus Security Software, Check Point i Malwarebytes problemu i wszystko już wydała poprawione na ich produktach. Ponieważ naukowca nie wyraźnie wspomnieć ani firmy Symantec, McAfee, w jego blogu, do tej pory, żadna z dwóch dostawców udzielono odpowiedzi na pytania.

Bogner zdecydowanie zaleca, aby użytkownicy ustawiali swoje oprogramowanie antywirusowe aktualizowane w celu uniknięcia, atakowany przez AVGater. Jednakże dodał też, że istnieją ograniczenia dotyczące wykorzystania.

“Jak AVGator tylko można zostać wykorzystana, jeśli użytkownik może przywrócić pliki wcześniej poddane kwarantannie, polecam wszystkim w środowisku korporacyjnym blok normalnych użytkowników od przywracania zidentyfikowanych zagrożeń.” – stwierdził Bogner – “To jest mądry w jakikolwiek sposób”.

Według Satya Gupta, założyciel i CTO Virsec systemów, aplikacji zagrożenie oprogramowania firmy z siedzibą w San Jose, California, AVGater jest dowodem na to, że napastnicy znaleźć inny sposób, który pozwala im do manipulowania “legalnych procesów do uruchomienia złośliwy kod lub skrypty.”

“To także kolejny gwóźdź do trumny dla konwencjonalnych rozwiązań antywirusowych opartych na sygnaturach. Znamy się na chwilę, fileless i exploitów opartych na pamięci latać pod radarem większości systemów AV, ale teraz hakerzy można użyć narzędzia AV do zasadniczo się samoczynnie wyłączać. “ -Gupta powiedział do SearchSecurity – “hakerzy są nieugięte i nieuchronnie znaleźć sprytne sposoby na ominięcie zabezpieczeń sieci obwodowej. Bitwa ma się przenieść do ochrony integralności aplikacji dla procesu i pamięci wyczyny. “


Leave a Reply

Your email address will not be published. Required fields are marked *