اجرای بدافزار از طریق ضدویروس نصب شده بر روی دستگاه!

شبکه گستر

7 سال پیش

چندین نرم‌افزار ضدویروس حاوی ضعفی امنیتی هستند که مهاجم را قادر می‌سازد تا با سوءاستفاده از قابلیت “Restore from Quarantine” بدافزار قرنطینه شده توسط ضدویروس را به پوشه‌ای سیستمی منتقل کرده و آن را با سطح دسترسی بالا به اجرا درآورد.

محقق کاشف این آسیب‌پذیری که در شرکت اتریشی Kapsch مشغول به کار است آسیب‌پذیری مذکور را AVGater نامیده است.

این محقق، وجود این آسیب‌پذیری را به تمامی شرکت‌های ضدویروسی که او آنها را بررسی کرده اطلاع داده و اکنون پس از آنکه برخی از آنها اصلاحیه‌هایی را برای ترمیم این ضعف امنیتی عرضه کردند جزئیات آن را منتشر کرده است. این ضدویروس‌ها عبارتند از:

Trend Micro
Emsisoft
Kaspersky Lab
Malwarebytes
Ikarus
Zone Alarm by Check Point

او گفته که شرکت‌های دیگر نیز که در بررسی‌های او آسیب‌پذیر شاخته شده‌اند طی روزهای آتی اقدام به عرضه اصلاحیه خواهند کرد. ضمن اینکه اضافه کرده که ضدویروس‌های بررسی نشده توسط او نیز ممکن است که این آسیب‌پذیری را در خود داشته باشند.

تصویر زیر نحوه سوءاستفاده از AVGater را نمایش می‌دهد:

همانطور که در تصویر بالا نشان داده شده است، پس از شناسایی بدافزار بر روی دستگاه و قرنطینه شدن آن توسط ضدویروس، مهاجم با دسترسی فیزیکی اما نه لزوماً با سطح دسترسی بالا با سوءاستفاده از فرآیند بازگردانی (Restore) در ضدویروس و با دست‌درازی به بخش مدیریت پوشه‌ها در سیستم فایل NTFS بدافزار را بازگردانده و آن را در پوشه‌ای سیستمی ذخیره می‌کند.
به این ترتیب مهاجم قادر به انتقال فایل مخرب بدافزار به پوشه‌ای سیستمی نظیر Windows خواهد بود. با توجه به اینکه برخی فایل‌های این پوشه در قالب سرویس در ابتدای راه‌اندازی سیستم عامل توسط پروسه‌هایی مجاز به اجرا در می‌آیند مهاجم می‌تواند با استفاده از نامی مرتبط آنها را به اجرا درآورد.

با بکارگیری این روش، عملاً مهاجم قادر خواهد بود که بدافزار خود را با سطح دسترسی بالا در هر بار راه‌اندازی دستگاه اجرا کند. هر چند که مهاجم برای اجرای چنین حملهای میبایست دسترسی فیزیکی به دستگاه داشته باشد که محدودیتی اساسی در بسیاری از حملات محسوب می‌شود.

این محقق بهره جویی از دو ضدویروس Emsisoft و Malwarebytes را تشریح کرده است.

به کلیه مدیران شبکه توصیه می‌شود که در اولین فرصت نسبت به ارتقای ضدویروس سازمان به آخرین نسخه عرضه شده اقدام کنند. ضمن اینکه توصیه می شود امکان بازگردانی فایل های قرنطینه شده نیز از کاربران غیر Administrator سلب شود.