كشف باحثو الأمن السيبراني عن تفاصيل الثغرات الأمنية الموجودة في برامج مكافحة الفيروسات الشائعة.
وتسمح هذه الثغرات للمهاجمين برفع امتيازاتهم ومساعدة البرامج الضارة في الحفاظ على موطئ قدم لها ضمن الأنظمة المخترقة.
ووفقًا لتقرير نشرته شركة (CyberArk)، فإن الامتيازات العالية المرتبطة غالبًا بمنتجات برامج مكافحة الفيروسات تجعلها أكثر عرضة للاستغلال عبر هجمات التلاعب بالملفات، مما يؤدي إلى سيناريو تحصل فيه البرامج الضارة على أذونات مرتفعة.
وتؤثر هذه الأخطاء في مجموعة كبيرة من برامج مكافحة الفيروسات، ومن ضمنها حلول كاسبرسكي ومكافي وسيمانتيك وتشيك بوينت وتريند ماكرو وآفيرا ومايكروسوفت ديفيندر.
ومن أهم العيوب القدرة على حذف الملفات من المواقع العشوائية، مما يسمح للمهاجم بحذف أي ملف في النظام، بالإضافة إلى ثغرة أمنية تتعلق بتلف الملفات تسمح للمهاجم بإزالة محتوى أي ملف في النظام.
ووفقًا لشركة (CyberArk)، تنتج الأخطاء عن قوائم التحكم في الوصول التقديرية لمجلد “C:\ProgramData” في ويندوز، التي تسمح بتخزين بيانات المستخدمين القياسيين دون الحاجة إلى أذونات إضافية.
وبالنظر إلى أن كل مستخدم لديه إذن الكتابة والحذف على المستوى الأساسي للدليل، فإن ذلك يزيد من احتمالية تصعيد الامتياز عندما تضع عملية لا تتمتع بإمتياز مجلدًا جديدًا في “ProgramData” يمكن الوصول إليه لاحقًا من خلال عملية ذات امتياز.
واكتشف باحثو (CyberArk) أيضًا إمكانية إنشاء مجلد جديد في “C:\ProgramData” قبل تنفيذ عملية ذات امتياز.
ويحصل المستخدم القياسي على سيطرة كاملة على مجلد تطبيق مكافحة الفيروسات بعد تشغيل برنامج تثبيته، مما يسمح للمستخدم المحلي بالحصول على أذونات عالية.
وكان من الممكن أن يستغل أحد المهاجمين خطأ اختطاف ملفات مكتبة الارتباط الديناميكي (DLL) في برامج مكافحة الفيروسات لوضع ملف (DLL) ضار في دليل التطبيق ورفع الامتيازات.
وحثت (CyberArk) على ضرورة أن تكون قوائم التحكم في الوصول التقديرية مقيدة لمنع نقاط الضعف، وشددت على الحاجة إلى تحديث أطر التثبيت للتخفيف من هجمات اختطاف ملفات مكتبة الارتباط الديناميكي (DLL).
وأصلحت الشركات برامج مكافحة الفيروسات، لكن التقرير يمثل تذكيرًا بأن نقاط الضعف في البرامج، من ضمنها تلك التي تهدف إلى توفير الحماية من الفيروسات، يمكن أن تكون قناة تعبر من خلالها البرامج الضارة.