Falhas em produtos de segurança de dez fornecedores

Kaspersky, McAfee, Symantec, Fortinet, Checkpoint, Trend Micro, Avira, Microsoft, Avast e F-Secure publicaram correções para os problemas
Da Redação
07/10/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O pesquisador de segurança Eran Shimony, que trabalha para a empresa israelense CyberArk, publicou ontem no blog da empresa a informação de que identificou falhas graves em antivírus de dez fornecedores, que foram informados e já aplicaram os patches necessários. Os fornecedores são : Kaspersky, McAfee, Symantec, Fortinet, Checkpoint, Trend Micro, Avira, Microsoft, Avast e F-Secure.

Sua postagem no blog demonstra o primeiro tipo de ataque contra um produto Avira e o segundo contra um produto McAfee. No entanto, ele apontou que produtos de outros fornecedores também são afetados. O pesquisador também descobriu que muitos instaladores de software antimalware contam com uma estrutura de instalação antiga, permitindo que um invasor conduza ataques de sequestro de DLL para aumentar os privilégios.

A pesquisa se concentrou nas vulnerabilidades que permitem a um invasor ou um malware ganhar privilégios usando ataques de link simbólico ou sequestro de DLL. Em alguns casos, os bugs de segurança podem ter permitido que os invasores excluíssem arquivos de sua escolha. Esses tipos de ataques contra produtos antimalware também foram detalhados no início deste ano por pesquisadores do RACK911 Labs.

Veja isso
Primeiro semestre tem alta global em todos os tipos de ataques
86% das redes acusam disrupção após home office global

Shimony analisou dois tipos de métodos de ataque envolvendo links simbólicos: no primeiro, um processo sem privilégios cria arquivos ou pastas que seriam usados ​​posteriormente por um processo com privilégios; no segundo, um diretório é criado pelo invasor, antes que seja criado por um processo com privilégios. Em ambos os casos, o invasor pode usar links simbólicos para ganhar privilégios com a ajuda do processo privilegiado.

O que é link simbólico

Um link simbólico, ou symlink, é basicamente um arquivo de atalho. No entanto, pesquisadores demonstraram em várias ocasiões que links simbólicos podem ser criados especialmenmte para escrever, modificar ou excluir arquivos, podendo assim ser aproveitados para escalar privilégios ou causar danos a um sistema.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório