Software Antivirus ทำให้ Computer ของคุณไม่ปลอดภัยอีกต่อไป !!!

นักวิจัยได้เปิดเผยรายละเอียดของช่องโหว่ที่พบใน Software Antivirus ที่ทำให้ Attacker สามารถยกระดับสิทธิ์ของตนได้ 

ช่องโหว่นี้ส่งผลกระทบต่อ Software Antivirus Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira และ Microsoft Defender ซึ่ง Software เหล่านี้ได้รับการแก้ไขช่องโหว่แล้วใน Patch ปัจจุบัน 

ข้อบกพร่องนี้มีผลมาจาก DACL (Discretionary Access Control Lists) ในโฟลเดอร์  “C:\ProgramData”  ซึ่งเป็น Application ในการจัดเก็บข้อมูลสำหรับ Standard User เนื่องจาก User มีสิทธิ์ในการเขียนและลบในระดับพื้นฐานของ Directory ซึ่งเพิ่มโอกาสให้ Attacker ยกระดับสิทธิ์ของตนเมื่อสร้างโฟลเดอร์ใหม่ใน ” C:\ProgramData ” 

เมื่อทีมนักวิจัยทำการติดตั้งโปรแกรม Antivirus McAfee เมื่อถึงขั้นตอนในการสร้างโฟลเดอร์ “McAfee”จะทำให้ User ทั่วไปสามารถควบคุม Directory ได้อย่างสมบูรณ์ Attacker ใช้ประโยชน์จากการได้รับการยกระดับสิทธิ์นี้ ทำการโจมตีด้วยเทคนิค “symlink” 

Trend Micro, Fortinet และ Software Antivirus อื่นๆ อาจถูกโจมตีด้วยวิธีการ DLL Hijacking ซึ่ง Attacker จะทำการวางไฟล์ DLL ที่เป็นอันตรายลงใน Directory ของ Applicationและยกระดับสิทธิ์  

แม้ว่าปัญหาเหล่านี้อาจได้รับการแก้ไขแล้ว เหตุการณ์นี้จะเป็นตัวย้ำเตือนว่าช่องโหว่ของ Software รวมถึง Software Antivirus อาจเป็นช่องทางให้ Hacker ใช้ประโยชน์จากช่องโหว่เหล่านี้ในการโจมตีได้ 

Software Antivirus ที่ได้รับผลกระทบ 

Antivirus Vulnerability 
Kaspersky Security Center CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 
McAfee Endpoint Security and McAfee Total Protection CVE-2020-7250, CVE-2020-7310 
Symantec Norton Power Eraser CVE-2019-1954 
Fortinet FortiClient CVE-2020-9290 
Check Point ZoneAlarm and Check Point Endpoint Security CVE-2019-8452 
Trend Micro HouseCall for Home Networks CVE-2019-19688, CVE-2019-19689, and three more unassigned flaws 
Avira CVE-2020-13903 
Microsoft Defender CVE-2019-1161 

วิธีการป้องกัน  

1.Update Patch ของโปรแกรมให้เป็น Version ปัจจุบัน 

2.ใช้ Software Antivirus ที่ถูกลิขสิทธิ์ 

ที่มา:https://thehackernews.com/2020/10/antivirus-software-vulnerabilities.html

Share