Kilka godzin temu pisaliśmy o antywirusach marki Symantec, w których atakujący wykorzystując luki bezpieczeństwa mógł przesłać odpowiednio spreparowany plik wykonywalny do użytkownika (np. poprzez e-mail), co mogło skutkować wykonaniem złośliwego kodu bez otwarcia pliki — wystarczyłoby, by antywirus przeskanował plik “w locie”, usunął, wyleczył lub przeniósł do kwarantanny (bez znaczenia), a złośliwy kod zostałby uruchomiony w samym jądrze systemu operacyjnego!
Bez błędów bezpieczeństwa nie uchowały się programy popularnej w Polsce firmy Panda Security. Antywirusy Panda Global Protection 2016 (16.1.2), Panda Antivirus Pro 2016 (16.1.2), Panda Small Business Protection (16.1.2) oraz Panda Internet Security 2016 (16.1.2) są podatne na lokalne przekroczenie uprawnień i wykonanie dowolnego kodu. Właściwie to były podatne — aktualizacje bezpieczeństwa wydano 24 czerwca, jednak niezbędne jest wdrożenie przygotowanego przez producenta hotfixa lub manualna edycja uprawnień dla grupy UŻYTKOWNICY (czytaj dalej).
Problem dotyczy pliku PSEvents.exe, który znajduje się w folderze z zainstalowanym antywirusem. Proces PSEvents.exe uruchamiany jest co godzinę, jednak w momencie rozruchu próbuje załadować te biblioteki DLL z lokalnego folderu, które powinny zostać otworzone przez antywirusa. W systemie Windows 10 niektóre biblioteki potrzebne do działania antywirusa np. w Windows 7 po prostu nie istnieją.
Z tej zależności może skorzystać atakujący, któremu jeśli udałoby się w systemie Windows 10 utworzyć złośliwe biblioteki DLL w folderze z plikiem PSEvents.exe (ale także w folderze z plikami PSDevice.exe i PSProfiler.exe), mógłby oszukać antywirusy Panda Security, które wykonałyby złośliwy kod z brakujących blibliotek DLL.
Błąd został zgłoszony przez Ashrafa Alharbiego z firmy Security-Assessment.com, a producent 24 czerwca udostępnił hotfix dla podatnych produktów. 27 czerwca została opublikowana oficjalna informacja.
Antywirusy Panda chronią moje komputery / stacje robocze. Co muszę zrobić?
- Na wszelki wypadek upewnij się, że korzystasz z najnowszych wersji antywirusów Panda. Natychmiast wymusić aktualizację plików. Podatność jest już znana publicznie, więc może zostać wykorzystana przeciwko Tobie.
- Jeśli chronisz stacje robocze antywirusami Panda nie korzystaj z dodawania informacji do stopki w wiadomości e-mail typu “Ta wiadomość jest bezpieczna. Została przeskanowana przez Panda Security”. Jest to bardzo cenna wskazówka dla przestępców.
Zaaplikuj hotfix:
1. Pobierz łatkę bezpieczeństwa (plik EXE z tej strony) i uruchom.
2. Upewnij się, że grupa UŻYTKOWNICY posiada uprawnienia tylko odczytu dla folderu w lokalizacji %ProgramData%Panda SecurityPanda Devices AgentDownloads
