PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Peneliti keamanan dari CyberArk Labs kali ini mengungkapkan rincian kerentanan keamanan yang ditemukan dalam berbagai aplikasi antivirus populer yang dapat memungkinkan penyerang meningkatkan hak istimewa mereka pada sistem yang disusupi.

Menurut laporan yang diterbitkan oleh CyberArk Labs, hak istimewa tingkat tinggi yang sering dikaitkan dengan produk anti-malware membuat mereka lebih rentan terhadap eksploitasi melalui serangan manipulasi file, mengakibatkan skenario di mana malware bisa memperoleh izin yang lebih tinggi dalam sistem.

Kerentanan ini memengaruhi berbagai aplikasi antivirus, termasuk dari Kaspersky, McAfee, Symantec, Fortinet, Check Point, Trend Micro, Avira, dan Microsoft Defender, yang pada saat artikel ini diterbitkan, kerentanan telah diperbaiki oleh masing-masing vendor.

  • Kaspersky: CVE-2020-25045, CVE-2020-25044, CVE-2020-25043
  • McAfee: CVE-2020-7250, CVE-2020-7310
  • Symantec: CVE-2019-19548
  • Fortinet: CVE-2020-9290
  • Check Point: CVE-2019-8452
  • Trend Micro: CVE-2019-19688, CVE-2019-19689 +3
  • Avira: CVE-2020-13903
  • Microsoft: CVE-2019-1161
  • Avast + F-Secure: menunggu konfirmasi Mitre

Salah satu kelemahan utama yang ditemukan adalah kemampuan untuk menghapus file dari lokasi arbitrer, memungkinkan penyerang untuk menghapus file apa pun di sistem, serta kerentanan file korup yang memungkinkan penyerang untuk menghilangkan konten file apa pun di sistem.

Menurut peneliti, kerentanan dihasilkan dari DACL (Discretionary Access Control List) default untuk folder ‘C:\ProgramData’ Windows, yang merupakan aplikasi untuk menyimpan data pengguna standar tanpa memerlukan izin tambahan.

Mengingat bahwa setiap pengguna memiliki izin write dan delete pada tingkat dasar direktori, hal ini meningkatkan kemungkinan privilege escalation saat proses yang tidak memiliki hak istimewa membuat folder baru di “ProgramData” yang nantinya dapat diakses oleh proses yang memiliki hak istimewa.


Baca Juga: “Antivirus Corona Palsu Digunakan Untuk Mendistribusikan Malware

Dalam satu kasus, diamati bahwa dua proses berbeda – satu diistimewakan dan yang lainnya dijalankan sebagai pengguna lokal yang diautentikasi – berbagi file log yang sama, berpotensi memungkinkan penyerang untuk mengeksploitasi proses yang diistimewakan untuk menghapus file dan membuat symbolic link yang akan mengarahkan ke file arbitrer dengan konten berbahaya.

Selanjutnya, peneliti CyberArk juga mengeksplorasi kemungkinan membuat folder baru di ‘C:\ProgramData’ sebelum proses yang memiliki hak istimewa dijalankan.

Saat melakukannya, mereka menemukan bahwa ketika penginstal antivirus McAfee dijalankan setelah membuat folder “McAfee”, pengguna standar memiliki kendali penuh atas direktori, memungkinkan pengguna lokal untuk mendapatkan izin yang lebih tinggi dengan melakukan serangan symlink.

Lalu, kerentanan pembajakan DLL di Trend Micro, Fortinet, dan aplikasi antivirus lainnya dapat dimanfaatkan oleh penyerang untuk menempatkan file DLL berbahaya ke dalam direktori aplikasi dan meningkatkan hak istimewa.

Selain mendesak bahwa daftar kontrol akses harus dibatasi untuk mencegah kerentanan penghapusan arbitrer, CyberArk menekankan perlunya memperbarui framework instalasi untuk memitigasi serangan pembajakan DLL.

Implikasi dari kerentanan ini seringkali merupakan privilege escalation penuh dari sistem lokal,” kata peneliti CyberArk. “Karena tingkat hak istimewa produk keamanan yang tinggi, kesalahan di dalamnya dapat membantu malware mempertahankan eksistensinya dan menyebabkan lebih banyak kerusakan pada mesin penggunanya.”

Sumber:

Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.