0xNews - 바이러스 백신 소프트웨어에서의 취약점으로 인해 컴퓨터 손상 발생 주의
0xNews - 바이러스 백신 소프트웨어에서의 취약점으로 인해 컴퓨터 손상 발생 주의
CyberArkLabs 발표
맬웨어 Malware 방지 제품과 관련된 높은 권한은 종종 파일 조작 권한을 통한 악용에 더 취약하게 하여 맬웨어가 시스템에 대한 높은 권한을 얻는 시나리오를 만들어서 공격 수행
이번에 발견된 취약점은 다음 백신 소프트웨어에 존재 확인
Kaspersky
McAfee
Symantec
Fortinet
Check Point
Trend Micro
Avira
MS Defender
이번 취약점은 확인 후 각 공급업체 통보 후 수정 완료
발견된 취약점 중 중요도가 가장 높은 것은 임의의 위치에서 파일을 삭제하는 기능
공격자가 시스템의 모든 파일을 삭제 가능
시스템의 모든 파일 내용을 삭제할 수 있는 파일 손상 취약점 file corruption vulnerability
Windows 의 C:\ProgramData 폴더에 대한 기본 DACL Discretionary Access Control Lists 에서 발생
응용 프로그램에서 추가 권한없이 표준 사용자를 위해 데이터를 저장
모든 사용자가 디렉토리의 기본 수준에 대한 쓰기와 삭제 권한을 모두 가지고 있다는 점을 감안할 때
권한이 없는 프로세스가 나중에 권한이 있는 프로세스에서 접속할 수 있는 'ProgramData' 에 새 폴더를 만들 때 권한 상승 가능성이 높아짐
이번 취약점으로 인한 소프트웨어의 CVE 리스트
Kaspersky
CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
McAfee
CVE-2020-7250, CVE-2020-7310
Symantec
CVE-2019-19548
Fortinet
CVE-2020-9290
Checkpoint
CVE-2019-8452
Trend Micro
CVE-2019-19688, CVE-2019-19689 등 추가 CVE 지정이 안된 추가 취약점 3개
Avira
CVE-2020-13903
Microsoft
CVE-2019-1161
Avast / F-Secure
정보 업데이트 대기 중
두 개의 서로 다른 프로세스가 동일한 로그 파일을 공유하여 잠재적으로 공격자가 권한이 있는 프로세스를 악용하여 파일을 삭제
심볼릭 링크를 만들 수 있음을 확인
이런 파일은 사용자 모르게 악성 프로그램 등이 포함된 공격자가 원하는 임의의 파일을 가르킴
서로 다른 프로세스는 하나는 인증된 로컬 사용자로 실행이 되고 다른 하나는 권한만 있고 인증이 안된 상황을 가르킴
연구팀은 이 때 권한이 있는 프로세스가 실행되기 전에 "C:\ProgramData"에 새 폴더를 생성할 수 있는지 조사
이 과정에서 McAfee 폴더를 생성한 후 McAfee 설치 프로그램을 실행하면 표준 사용자가 디렉토리를 완전히 제어할 수 있음
로컬 사용자가 심볼릭 링크 공격을 수행하여 상승된 권한을 얻을 수 있음을 발견
Trend Micro, Fortinet, 그 외 바이러스 백신 소프트웨어의 DLL 하이재킹 Hijacking 악용
악성 DLL 파일을 응용 프로그램 디렉토리에 배치하고 권한 상승 가능
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.