Aktualizujcie antywirusy Panda Security dla firm i dla domu — możliwe przekroczenie uprawnień i wykonanie złośliwego kodu

Kilka godzin temu pisaliśmy o antywirusach marki Symantec, w których atakujący wykorzystując luki bezpieczeństwa mógł przesłać odpowiednio spreparowany plik wykonywalny do użytkownika (np. poprzez e-mail), co mogło skutkować wykonaniem złośliwego kodu bez otwarcia pliki — wystarczyłoby, by antywirus przeskanował plik “w locie”, usunął, wyleczył lub przeniósł do kwarantanny (bez znaczenia), a złośliwy kod zostałby uruchomiony w samym jądrze systemu operacyjnego! 

Bez błędów bezpieczeństwa nie uchowały się programy popularnej w Polsce firmy Panda Security. Antywirusy Panda Global Protection 2016 (16.1.2), Panda Antivirus Pro 2016 (16.1.2), Panda Small Business Protection (16.1.2) oraz Panda Internet Security 2016 (16.1.2) są podatne na lokalne przekroczenie uprawnień i wykonanie dowolnego kodu. Właściwie to były podatne — aktualizacje bezpieczeństwa wydano 24 czerwca, jednak niezbędne jest wdrożenie przygotowanego przez producenta hotfixa lub manualna edycja uprawnień dla grupy UŻYTKOWNICY (czytaj dalej).

Problem dotyczy pliku PSEvents.exe, który znajduje się w folderze z zainstalowanym antywirusem. Proces PSEvents.exe uruchamiany jest co godzinę, jednak w momencie rozruchu próbuje załadować te biblioteki DLL z lokalnego folderu, które powinny zostać otworzone przez antywirusa. W systemie Windows 10 niektóre biblioteki potrzebne do działania antywirusa np. w Windows 7 po prostu nie istnieją.

Brakująca biblioteka

Z tej zależności może skorzystać atakujący, któremu jeśli udałoby się w systemie Windows 10 utworzyć złośliwe biblioteki DLL w folderze z plikiem PSEvents.exe (ale także w folderze z plikami PSDevice.exe i PSProfiler.exe), mógłby oszukać antywirusy Panda Security, które wykonałyby złośliwy kod z brakujących blibliotek DLL.

Złośliwa brakująca biblioteka DLL o takiej samej nazwie.

Błąd został zgłoszony przez Ashrafa Alharbiego z firmy Security-Assessment.com, a producent 24 czerwca udostępnił hotfix dla podatnych produktów. 27 czerwca została opublikowana oficjalna informacja.

Antywirusy Panda chronią moje komputery / stacje robocze. Co muszę zrobić?

  • Na wszelki wypadek upewnij się, że korzystasz z najnowszych wersji antywirusów Panda. Natychmiast wymusić aktualizację plików. Podatność jest już znana publicznie, więc może zostać wykorzystana przeciwko Tobie.
  • Jeśli chronisz stacje robocze antywirusami Panda nie korzystaj z dodawania informacji do stopki w wiadomości e-mail typu “Ta wiadomość jest bezpieczna. Została przeskanowana przez Panda Security”. Jest to bardzo cenna wskazówka dla przestępców.

Zaaplikuj hotfix:

1. Pobierz łatkę bezpieczeństwa (plik EXE z tej strony) i uruchom.
2. Upewnij się, że grupa UŻYTKOWNICY posiada uprawnienia tylko odczytu dla folderu w lokalizacji %ProgramData%\Panda Security\Panda Devices Agent\Downloads



Komentarze

Darek czw., 30-06-2016 - 10:07

Niebywałe co się dzieje z antywirusami. W zasadzie to zawsze tak było, tylko teraz ktoś wziął sie za ujawnianie tego. Ale to dobrze - z pożytkiem dla nas wszystkich. Dziwię się dlaczego firmy AV nie robią żadnych pentestów swoich programów antywirusowych. Przecież mają chronić nas i workerów w firmach. Testowanie aplikacji pod kątem bezpieczeństwa to powinna być pierwsza rzecz, która jest do zrobienia po opracowaniu antywirusa. Wciskają nam kity o bezpieczeństwie, a sami tego nie robią. Hipokryci.

Anonim wt., 19-07-2016 - 17:08

Wydaje mi się że to nie jest tak jak mówisz. Nie wierzę że programy antywirusowe nie przechodzą żadnych testów bezpieczeństwa. Po prostu w każdym programie da się znaleźć błąd. Problem w tym, że niektórzy robią to dla pieniędzy a inni dla rozgłosu i szkalowania antywirusów.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej