Bitdefender corrige el error de escalada de privilegios en Free Antivirus 2020

hackers

Un atacante podría aprovechar una vulnerabilidad en la versión gratuita de Bitdefender Antivirus para obtener permisos de nivel de SISTEMA, reservados para la cuenta más privilegiada en una máquina con Windows.

Las vulnerabilidades de escalada de privilegios se utilizan en una etapa posterior de un ataque, después de que el actor de amenaza ya comprometió al host objetivo y necesita permisos elevados para establecer persistencia o ejecutar código con los privilegios del usuario más poderoso.

Buscando DLL faltante

Identificada como CVE-2019-15295, la vulnerabilidad se debe a la falta de verificación de que los archivos binarios cargados están firmados y provienen de una ubicación confiable.

Peleg Hadar de SafeBreach Labs dice que el servicio de seguridad de Bitdefender (vsserv.exe) y el servicio de actualización (updatesrv.exe) comenzaron como procesos firmados con la autoridad del SISTEMA.

Sin embargo, intentaron cargar un archivo DLL faltante ('RestartWatchDog.dll') desde varias ubicaciones en la variable de entorno PATH.

Una de las ubicaciones es 'c: / python27', que viene con una lista de control de acceso (ACL) abierta a cualquier usuario autenticado. Esto hace que la escalada de privilegios sea trivial porque un usuario con permisos normales podría escribir la DLL que falta y que los procesos firmados de Bitdefender la carguen.

Hadar probó la teoría con un archivo DLL sin firmar que escribió en un archivo de texto el nombre del proceso que lo cargaba, el nombre del usuario que lo ejecutaba y el nombre del archivo DLL.

Su suposición fue confirmada y su archivo 'RestartWatchDog.dll' se cargó sin problemas.

La raíz del problema es la biblioteca ServiceInstance.dll que intenta cargar la DLL que falta.

SafeBreach reveló la vulnerabilidad de manera responsable a Bitdefender el 17 de julio y el 14 de agosto recibió la validación del fabricante del antivirus.

El lunes, Bitdefender lanzó un parche para su producto Antivirus Free 2020. Los usuarios con conexión a Internet recibieron la actualización automáticamente.

"Una vulnerabilidad de ruta de búsqueda no confiable en la biblioteca de ServiceInstance.dll versiones 1.0.15.119 y anteriores, como se usa en las versiones de Bitdefender Antivirus Free 2020 anteriores a 1.0.15.138, permite a un atacante cargar un archivo DLL arbitrario de la ruta de búsqueda". lee el aviso de Bitdefender

Fecha actualización el 2021-08-22. Fecha publicación el 2019-08-22. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil