ليس سراً على أي شخص أن تثبيت منتج مضاد للفيروسات يمكن أن يفتح متجهات هجومية إضافية ، لكن فوجئت جدًا بحقيقة أن العثور على هذه الثغرات الأمنية واستغلالها في بعض المنتجات ، حتى عام 2018 ، لا يمثل مشكلة.
عفوًاتوجد ثغرة أمنية مكتشفة في الإجراء الخاص بتحديث منتج الحماية من الفيروسات. يتم إرسال ملفات تكوين التحديث عبر اتصال HTTP منتظم ويمكن قراءتها من قبل شخص (وهو ليس مشكلة عدم حصانة). في الردود الواردة من خوادم الشركة ، تم العثور على روابط لملفات التحديث التي ينفذها برنامج مكافحة الفيروسات عند اكتشاف إصدار جديد.
تحديث رابطمن المثير للدهشة للغاية حقيقة أنه حتى الاستبدال البسيط لعنوان URL لملف طرف ثالث أدى إلى تحذير
غريب من الفيروسات.
هل تريد تنفيذ نوع من الملفات مع حقوق النظام؟إذا وافق المستخدم ، دون أن يلاحظ الحيلة ، فسيقوم برنامج مكافحة الفيروسات بتنزيل ملف الجهة الخارجية على الكمبيوتر وتشغيله بامتيازات SYSTEM. علاوة على ذلك ، لا يمكن أن يكون هذا بالضرورة مستخدمًا لديه امتيازات المسؤول.
ومع ذلك ، فإن شخصًا عاقلًا سيوافق على تثبيت هذا "التحديث". دعونا نرى كيفية
تجاوز هذا الإخطار. جميع ملفات التحديث موقعة رقميا
ويجب التحقق منها قبل التنفيذ. دعونا نلقي نظرة على وظيفة ZmnAppUpdater ونرى قسمًا مثيرًا للاهتمام في المكان الذي تم استدعاء وظيفة SignatureChecker به في ملف ZAM.exe
التحقق غابيجب أن تحقق هذه الوظيفة من التوقيع الرقمي لملف exe وإرجاع رمز نتيجة التحقق. ومع ذلك ، في وظيفة ZmnAppUpdater ، نسي المؤلفون القيام بذلك (النتيجة EAX = 0x80096010 (TRUST_E_BAD_DIGEST)). وبالتالي ، من الممكن
تنفيذ تعليمات برمجية عشوائية على نظام بعيد مع حقوق SYSTEM دون التفاعل مع المستخدم من خلال تنفيذ الهجوم "رجل في الوسط" فقط. نقوم باستنساخ دليل الأمان الخاص بملف التحديث الأصلي في ملف تحديث مزيف ولا نهتم بعدم إمكانية التحقق من التوقيع الرقمي بواسطة نظام التشغيل. يتحقق برنامج مكافحة الفيروسات فقط من يتم إصدار الشهادة ، ولكن ليس سلامتها.
تم إصلاح ثغرة أمنية مع معرف CVE-2019-6440 بعد نشر هذا المنشور.
ألاحظ
نقطة واحدة
أكثر إثارة للاهتمام . لقد مر عام تقريبًا من اللحظة التي تم فيها إرسال المعلومات المتعلقة بالثغرة الأمنية إلى تصحيحها الفعلي (بدءًا بالإصدارات 3x). توجد ثغرة أمنية في جميع منتجات الشركة ، ومع ذلك
، فقد تقرر تأجيل إصدار تصحيح الطوارئ حتى إصدار نسخة رئيسية جديدة. قال ممثلو الشركة إنه من
الصعب للغاية اكتشاف ثغرة أمنية ، ويتم تطوير إصدار رئيسي جديد ولا تخطط الشركة لإصدار تصحيحات ، حيث يوجد لديها أكثر من 20 شريكًا يعيدون تسمية العلامة التجارية. بالطبع ، توجد
الثغرة الأمنية في جميع منتجات الشركات الشريكة . علاوة على ذلك ، تواصل
الشركة ، التي تدرك مشكلة عدم الحصانة ، الترويج بنشاط للإصدارات التي تحتوي على تعليمات برمجية مستضعفة حتى الآن.يبدو أن الشركة المشاركة في أمن المعلومات كان ينبغي لها إصدار التحديثات في أقرب وقت ممكن ، لكن هذا ليس كذلك ، وأمن العملاء ليس مثيراً للغاية بالنسبة لها.
تحديث
بعد النشر ، لا تزال الشركة أصدرت
تحديث . ما منع هذا من الحدوث من قبل غير معروف.