ช่องโหว่ส่งผลกระทบต่อ Software Antivirus Kaspersky, McAfee, Symantec
นักวิจัยได้เปิดเผยรายละเอียดของช่องโหว่ที่พบใน Software Antivirus ที่ทำให้ Attacker สามารถยกระดับสิทธิ์ของตนได้
ช่องโหว่นี้ส่งผลกระทบต่อ Software Antivirus Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira และ Microsoft Defender ซึ่ง Software เหล่านี้ได้รับการแก้ไขช่องโหว่แล้วใน Patch ปัจจุบัน
ข้อบกพร่องนี้มีผลมาจาก DACL (Discretionary Access Control Lists) ในโฟลเดอร์ “C:\ProgramData” ซึ่งเป็น Application ในการจัดเก็บข้อมูลสำหรับ Standard User เนื่องจาก User มีสิทธิ์ในการเขียนและลบในระดับพื้นฐานของ Directory ซึ่งเพิ่มโอกาสให้ Attacker ยกระดับสิทธิ์ของตนเมื่อสร้างโฟลเดอร์ใหม่ใน ” C:\ProgramData “
เมื่อทีมนักวิจัยทำการติดตั้งโปรแกรม Antivirus McAfee เมื่อถึงขั้นตอนในการสร้างโฟลเดอร์ “McAfee”จะทำให้ User ทั่วไปสามารถควบคุม Directory ได้อย่างสมบูรณ์ Attacker ใช้ประโยชน์จากการได้รับการยกระดับสิทธิ์นี้ ทำการโจมตีด้วยเทคนิค “symlink”
Trend Micro, Fortinet และ Software Antivirus อื่นๆ อาจถูกโจมตีด้วยวิธีการ DLL Hijacking ซึ่ง Attacker จะทำการวางไฟล์ DLL ที่เป็นอันตรายลงใน Directory ของ Applicationและยกระดับสิทธิ์
แม้ว่าปัญหาเหล่านี้อาจได้รับการแก้ไขแล้ว เหตุการณ์นี้จะเป็นตัวย้ำเตือนว่าช่องโหว่ของ Software รวมถึง Software Antivirus อาจเป็นช่องทางให้ Hacker ใช้ประโยชน์จากช่องโหว่เหล่านี้ในการโจมตีได้
Software Antivirus ที่ได้รับผลกระทบ
Antivirus | Vulnerability |
Kaspersky Security Center | CVE-2020-25043, CVE-2020-25044, CVE-2020-25045 |
McAfee Endpoint Security and McAfee Total Protection | CVE-2020-7250, CVE-2020-7310 |
Symantec Norton Power Eraser | CVE-2019-1954 |
Fortinet FortiClient | CVE-2020-9290 |
Check Point ZoneAlarm and Check Point Endpoint Security | CVE-2019-8452 |
Trend Micro HouseCall for Home Networks | CVE-2019-19688, CVE-2019-19689, and three more unassigned flaws |
Avira | CVE-2020-13903 |
Microsoft Defender | CVE-2019-1161 |
วิธีการป้องกัน
1.Update Patch ของโปรแกรมให้เป็น Version ปัจจุบัน
2.ใช้ Software Antivirus ที่ถูกลิขสิทธิ์
ที่มา:https://thehackernews.com/2020/10/antivirus-software-vulnerabilities.html