Aanvaller kan via quarantaine-lek in anti-virus rechten verhogen

[Captain Kirk]

Een beveiligingslek in de quarantaine-functie van verschillende anti-virusprogramma's maakt het mogelijk voor een aanvaller om zijn rechten op een al gehackt systeem te verhogen. De kwetsbaarheid wordt AVGater genoemd en werd door onderzoeker Florian Bogner ontdekt.

De aanval bestaat uit verschillende stappen, waarbij als eerste de virusscanner een kwaadaardig dll-bestand in quarantaine moet plaatsen. Dit is een locatie op het systeem waar verdachte bestanden tijdelijk worden bewaard, zonder dat ze verdere schade kunnen aanrichten. In het geval van een fout of onterechte detectie door de virusscanner kan het bestand worden teruggeplaatst. AVGater maakt gebruik van de mogelijkheid om in quarantaine geplaatste bestanden op willekeurige plekken terug te zetten.

Een gebruiker met beperkte rechten kan normaliter geen bestanden uit quarantaine halen. Bogner ontdekte dat dit via de Windows Service wel kan worden gedaan. De volgende stap in de aanval is het terugplaatsen van het bestand in een door de aanvaller gewenste directory. Die kan hiervoor van NTFS directory junctions gebruikmaken, ook wel soft links genoemd. Het gaat hier om een symbolische link van de ene naar de andere directory. Bijvoorbeeld C:\dira linkt naar C:\dirb\dirc. Via de directory junction kan de aanvaller zijn gewenste directory opgeven.

In het geval van AVGater gaat het bijvoorbeeld om de directory van een applicatie. Applicaties kunnen dll-bestanden in de eigen directory als eerste uitvoeren. Als het gaat om een applicatie die zelf met hogere rechten draait zal dit ervoor zorgen dat ook het kwaadaardige dll-bestand van de aanvaller met hogere rechten wordt uitgevoerd. De aanvaller krijgt zo volledige controle over het systeem. Het probleem speelt bij verschillende anti-virusbedrijven. Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, ZoneAlarm en Ikarus hebben al updates voor hun software uitgebracht. Andere partijen zullen nog volgen, aldus Bogner. De namen van deze bedrijven heeft de onderzoeker niet bekendgemaakt.

 

 

bron: security.nl