Des chercheurs en sécurité chez CyberARK ont repéré des bugs de sécurité avec un logiciel anti-malware, celui-ci permet aux attaquants d’augmenter leurs privilèges sur une machine infectée.

Les bugs avec anti-malware présentent des risques importants comparés aux autres applications, étant donné qu’ils disposent de privilèges élevés permettant aux attaquants d’exécuter des logiciels malveillants avec des privilèges élevés.

D’après les chercheurs, la principale raison du bug est liée aux DACL par défaut du répertoire C : ProgramData sous Windows utilisé par l’application pour stocker des données. Cette procédure n’a pas de lien avec un utilisateur précis, puisque chacun est doté d’autorisations de lecture/écriture sur ProgramData au lieu de % LocalAppData%, qui reste accessible par l’utilisateur connecté.

L’antivirus d’Avira a été analysé par les chercheurs, et celui-ci a deux processus non privilégiés et privilégiés qui écrivent dans le même fichier journal. Le pirate pourrait donc exploiter le processus privilégié afin de supprimer le fichier et créer un lien symbolique pointant vers n’importe quel fichier arbitraire sur le système cible avec un contenu malveillant.

Les chercheurs ont également analysé l’antivirus McAfee qui crée le dossier « McAfee », sous le contrôle de l’utilisateur standard, mais l’utilisateur local pourrait obtenir des autorisations élevées à travers une attaque par lien symbolique.

Les principaux bugs repérés sont :

• Kaspersky CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
• McAfee CVE-2020-7250, CVE-2020-7310
• Symantec CVE-2019-19548
• Fortinet CVE-2020-9290
• Point de contrôle CVE-2019-8452
• Trend Micro CVE-2019-19688, CVE-2019-19689 +3
• Avira - CVE-2020-13903
• Microsoft-CVE-2019-1161
• Avast + F-Secure - En attente de Mitre