Program Antivirus pelanggaran AVGater Exploit untuk mendapatkan pengambilalihan sistem lengkap

Computer Security News

Peneliti keamanan telah baru saja menemukan bukti baru mengeksploitasi konsep yang menyerang program antivirus. Dijuluki AVGater, yang mengeksploitasi telah menemukan cara untuk kompromi karantina antivirus untuk mendapatkan kontrol penuh atas perangkat yang terinfeksi.

Peneliti keamanan yang diungkapkan masalah adalah Florian Bogner dari Wina, Austria. Dia bernama mengeksploitasi AVGater karena, ketika ia berkata, “setiap kerentanan baru membutuhkan nama dan logo sendiri.” Menurut Bogner, AVGater beroperasi dengan “memanipulasi proses pemulihan dari virus karantina.”

“Dengan menyalahgunakan NTFS direktori persimpangan, proses pemulihan karantina AV dapat dimanipulasi, sehingga sebelumnya dikarantina file dapat ditulis ke lokasi sistem file yang sewenang-wenang.” -berbagi Bogner di blog-nya – “dengan mengembalikan file sebelumnya dikarantina, izin sistem AV Windows pengguna modus Layanan disalahgunakan, dan Perpustakaan berbahaya ditempatkan dalam folder mana pengguna saat ini masuk tidak mampu menulis di bawah normal kondisi.”

Bogner mengatakan bahwa ia segera memberitahu Emsisoft, Kaspersky Lab, Trend Micro, Ikarus Security Software, Check Point, dan Malwarebytes masalah dan mereka semua telah dirilis ditambal untuk produk mereka terkena. Karena peneliti secara khusus tidak menyebutkan Symantec maupun McAfee di posting blog-nya, sejauh ini, tak satu pun dari dua vendor telah menanggapi pertanyaan.

Bogner sangat menyarankan bahwa pengguna menjaga mereka perangkat lunak antivirus yang diperbarui untuk menghindari diserang oleh AVGater. Namun, ia juga menambahkan bahwa ada keterbatasan untuk mengeksploitasi.

“Sebagai AVGator hanya dapat dieksploitasi jika pengguna adalah diizinkan untuk mengembalikan file sebelumnya dikarantina, saya sarankan semua orang dalam lingkungan perusahaan untuk memblokir pengguna normal dari memulihkan ancaman diidentifikasi.” -menyatakan Bogner – “Ini bijaksana dengan cara apapun.”

Menurut Satya Gupta, pendiri dan CTO Virsec sistem, aplikasi ancaman perusahaan perangkat lunak berbasis di San Jose, California, AVGater bukti bahwa penyerang telah menemukan cara lain yang memungkinkan mereka untuk memanipulasi “sah proses untuk memulai kode berbahaya atau skrip.”

“Ini juga merupakan satu paku di peti mati untuk konvensional solusi antivirus yang berbasis tanda tangan. Kami sudah mengenal selama beberapa saat yang fileless dan memori berbasis eksploitasi terbang di bawah radar kebanyakan sistem AV, tapi sekarang hacker dapat menggunakan alat-alat AV pada dasarnya menonaktifkan sendiri. “ -Gupta dikatakan SearchSecurity – “hacker tak kenal lelah dan pasti akan menemukan cara-cara cerdas untuk mem-bypass keamanan perimeter. Pertempuran telah pindah ke melindungi integritas aplikasi untuk memori dan proses eksploitasi. “


Leave a Reply

Your email address will not be published. Required fields are marked *