Peneliti Temukan Kerentanan pada Antivirus Avira dan Avast
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Peneliti menemukan mengumumkan adanya kerentanan pada perangkat lunak antivirus Avast, AVG dan Avira.
Kerentanan yang ada memungkinkan penyerang memuat file DLL berbahaya untuk menerobos pertahanan dan menjangkau hak istimewa, demikian menurut penelitian keamanan SafeBreach Labs seperti diberitakan Security Weeek, yang diakses Senin (28 Oktober 2019).
Temuan kerentanan itu pada CVE-2019-17093 dan berdampak pada semua versi Avast dan AVG Antivirus—anak perusahaan dari Avast asal Republik Ceko.
Eksploitasi bug dapat membuat DLL berbahaya ke beberapa proses yang berjalan sebagai NT AUTHORITY \ SYSTEM.
Para peneliti juga menemukan bahwa AVGSvc.exe, sebuah AM-PPL (Anti-Malware Light Process Light), mencoba memuat DLL saat mulai, tetapi mencari file di folder yang salah.
Karena mekanisme perlindungan di dalam aplikasi antivirus, menulis DLL ke salah satu folder aplikasi dilarang, bahkan untuk administrator. Namun, mekanisme pertahanan ini dapat dilewati dengan menulis file DLL ke folder yang tidak dilindungi dari aplikasi yang memuat komponen.
“DLL non-Windows apa pun yang dimuat ke dalam proses yang dilindungi harus ditandatangani dengan sertifikat yang sesuai,” ujar Lab SafeBreach.
Untuk mencoba mengeksploitasi kerentanan, peneliti keamanan menyusun proxy DLL yang tidak ditandatangani dari aslinya. Selanjutnya, mereka menempatkan DLL di C: \ Program Files \ System32 \, di mana perangkat lunak antivirus mencari DLL dengan nama yang sama, yang mengakibatkan file dimuat dengan hak istimewa SISTEM.
“Kemampuan ini mungkin disalahgunakan oleh penyerang untuk tujuan yang berbeda seperti eksekusi dan penghindaran, misalnya, Aplikasi Whitelisting Bypass, ” para peneliti keamanan menjelaskan.
Masalah ini ditemukan berdampak pada semua edisi Avast Antivirus dan AVG Antivirus di bawah versi 19.8. Sebuah tambalan dirilis pada 26 September.
Para peneliti menemukan masalah yang sama di Avira Antivirus 2019—perusahaan antivirus asal Jerman. Kali ini, para peneliti menargetkan layanan Avira ServiceHost, yang merupakan layanan Avira Launcher, dan yang diinstal terlebih dahulu. Ketika dimulai, proses mencoba memuat pustaka yang hilang dari direktori sendiri.
Dengan menempatkan DLL mereka sendiri di lokasi itu, para peneliti dapat mengeksekusi kode dalam Avira.ServiceHost.exe. Hal yang sama dimungkinkan untuk proses Avira System Speedup, Avira Software Updater, dan Avira Optimizer Host.
Para peneliti melaporkan kerentanan terhadap Avira pada 22 Juli, dan vendor memberi tahu mereka pada 18 September bahwa masalah itu telah diatasi. MITER mengeluarkan CVE-2019-17449 untuk kerentanan pada 10 Oktober.
Namun, Avira percaya bahwa kerentanan itu sebenarnya tidak akan berguna bagi penyerang dan telah memutuskan untuk membantah CVE.
“Skenario menunjukkan bahwa OS default dan instalasi produk akan memerlukan hak Administrator untuk menempatkan File DLL berbahaya. Jika seseorang sudah memiliki hak admin, ia tidak akan mendapatkan hak istimewa baru atau hanya dapat memodifikasi Avira binary atau Windows untuk melewati semua pemeriksaan tanda tangan, ujar Avira.
