В антивірусній програмі Avira 2019 виявлена небезпечна вразливість (CVE-2019-17449), експлуатація якої дозволяє обійти захист на цільовій системі, забезпечити персистентність і підвищити привілеї шляхом завантаження довільної непідписаний DLL-бібліотеки. Для експлуатації уразливості зловмисник повинен мати права адміністратора.
Експерти з компанії SafeBreach протестували службу Avira ServiceHost (служба Avira Launcher). Avira ServiceHost – підписаний процес, який запускається з правами NT AUTHORITY / SYSTEM і першим встановлюється після запуску установника. За словами експертів, при запуску Avira.ServiceHost.exe намагається завантажити відсутню бібліотеку Windtrust.dll зі свого каталогу. Вразливість зачіпає версії Avira Launcher нижче 1.2.137 і версії Avira Software Updater нижче 2.0.6.21094.
Як правило, антивірусні рішення обмежують будь-які модифікації (наприклад, додавання, запис або зміна файлів) в папках за допомогою міні-фільтра, що застосовує політику «тільки для читання» до будь-якому користувачеві, включаючи Адміністратора. В рамках експерименту дослідники скомпілювали довільну DLL-бібліотеку, що записує в текстовий файл назву процесу, який його завантажив, ім’я користувача, який його виконав, і назву DLL-бібліотеки.
«Нам вдалося завантажити довільну DLL-бібліотеку і виконати код всередині Avira.ServiceHost.exe, який був підписаний« Avira Operations GmbH & Co. KG »і виконаний як NT AUTHORITY / SYSTEM», – відзначають експерти.
Подібні дії дослідникам вдалося провести і з іншими службами Avira (System Speedup, Software Updater і Optimizer Host).
Експерти виявили три типи атак, можливих при експлуатації даної вразливості: обхід захисту антивірусного ПО; завантаження і виконання шкідливої корисного навантаження в контексті підписаного процесу Avira; забезпечення персистентності на системі.
Дослідники повідомили компанію про уразливість в липні нинішнього року. У вересні Avira випустила виправлену версію Launcher (1.2.137).