Aktualizujcie antywirusy Panda Security dla firm i dla domu — możliwe przekroczenie uprawnień i wykonanie złośliwego kodu

29 czerwca, 2016

Kilka godzin temu pisaliśmy o antywirusach marki Symantec, w których atakujący wykorzystując luki bezpieczeństwa mógł przesłać odpowiednio spreparowany plik wykonywalny do użytkownika (np. poprzez e-mail), co mogło skutkować wykonaniem złośliwego kodu bez otwarcia pliki — wystarczyłoby, by antywirus przeskanował plik “w locie”, usunął, wyleczył lub przeniósł do kwarantanny (bez znaczenia), a złośliwy kod zostałby uruchomiony w samym jądrze systemu operacyjnego! 

Bez błędów bezpieczeństwa nie uchowały się programy popularnej w Polsce firmy Panda Security. Antywirusy Panda Global Protection 2016 (16.1.2), Panda Antivirus Pro 2016 (16.1.2), Panda Small Business Protection (16.1.2) oraz Panda Internet Security 2016 (16.1.2) są podatne na lokalne przekroczenie uprawnień i wykonanie dowolnego kodu. Właściwie to były podatne — aktualizacje bezpieczeństwa wydano 24 czerwca, jednak niezbędne jest wdrożenie przygotowanego przez producenta hotfixa lub manualna edycja uprawnień dla grupy UŻYTKOWNICY (czytaj dalej).

Problem dotyczy pliku PSEvents.exe, który znajduje się w folderze z zainstalowanym antywirusem. Proces PSEvents.exe uruchamiany jest co godzinę, jednak w momencie rozruchu próbuje załadować te biblioteki DLL z lokalnego folderu, które powinny zostać otworzone przez antywirusa. W systemie Windows 10 niektóre biblioteki potrzebne do działania antywirusa np. w Windows 7 po prostu nie istnieją.

missing DLL
Brakująca biblioteka

Z tej zależności może skorzystać atakujący, któremu jeśli udałoby się w systemie Windows 10 utworzyć złośliwe biblioteki DLL w folderze z plikiem PSEvents.exe (ale także w folderze z plikami PSDevice.exe i PSProfiler.exe), mógłby oszukać antywirusy Panda Security, które wykonałyby złośliwy kod z brakujących blibliotek DLL.

missing DLL2
Złośliwa brakująca biblioteka DLL o takiej samej nazwie.

Błąd został zgłoszony przez Ashrafa Alharbiego z firmy Security-Assessment.com, a producent 24 czerwca udostępnił hotfix dla podatnych produktów. 27 czerwca została opublikowana oficjalna informacja.

Antywirusy Panda chronią moje komputery / stacje robocze. Co muszę zrobić?

  • Na wszelki wypadek upewnij się, że korzystasz z najnowszych wersji antywirusów Panda. Natychmiast wymusić aktualizację plików. Podatność jest już znana publicznie, więc może zostać wykorzystana przeciwko Tobie.
  • Jeśli chronisz stacje robocze antywirusami Panda nie korzystaj z dodawania informacji do stopki w wiadomości e-mail typu “Ta wiadomość jest bezpieczna. Została przeskanowana przez Panda Security”. Jest to bardzo cenna wskazówka dla przestępców.

Zaaplikuj hotfix:

1. Pobierz łatkę bezpieczeństwa (plik EXE z tej strony) i uruchom.
2. Upewnij się, że grupa UŻYTKOWNICY posiada uprawnienia tylko odczytu dla folderu w lokalizacji %ProgramData%Panda SecurityPanda Devices AgentDownloads

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]