Las fallas descubiertas en las soluciones de seguridad Avast, AVG y Avira podrían ser explotadas por un atacante para cargar un archivo DLL malicioso para evadir las defensas y escalar privilegios en el sistema comprometido.
Una vulnerabilidad detectada en todas las versiones de las soluciones AV, rastreada como CVE-2019-17093, al ser explotada por un atacante con privilegios administrativos, permite ganar persistencia en el equipo víctima.
El atacante podría desencadenar el problema al cargar una DLL maliciosa sin firmar en múltiples procesos que se ejecutan como NT AUTHORITY\SYSTEM. Los expertos descubrieron que el proceso AVGSvc.exe, un AM-PPL (Anti-Malware Protected Process Light) que se ejecuta como un proceso firmado y con permisos NT AUTHORITY\SYSTEM, intenta cargar el archivo wbemcomn.dll desde la carpeta C:\Windows\System32\wbem\wbemcomn.dll.
El antivirus implementa un mecanismo de autodefensa que evita que el código malicioso escriba e implante una DLL en sus carpetas. Este mecanismo de autodefensa puede pasarse por alto escribiendo un archivo DLL en una carpeta desprotegida desde la cual la aplicación carga componentes.
La vulnerabilidad afecta a todas las ediciones de Avast Antivirus y AVG Antivirus anteriores a la versión 19.8, recordando que AVG es una subsidiaria de Avast; sumado al tema, en Avira Antivirus 2019 se descubrió una vulnerabilidad similar rastreada como CVE-2019-17449, que apunta a los servicios Avira Launcher y Avira ServiceHost, una vez iniciado intentará cargar una biblioteca desde otra ruta. Los investigadores pudieron ejecutar código malicioso dentro de Avira ServiceHost. El mismo problema afecta a los procesos Avira System Speedup, Avira Software Updater y Avira Optimizer Host.
REFERENCIA
COMENTARIOS