كشف باحثٌ عن طريقة لاختراق إحدى وظائف بعض برمجيات مكافحة الفيروسات بهدف تعريض أجهزة المستخدمين للخطر. وقدّمت كل من برمجية تريند مايكرو Trend Micro، وإيميسوفت Emisoft، وإيكاروس Ikarus، وكاسبيرسكي Kaspersky، وزون ألارم ZoneAlarm من تشيك بوينت Check Point ومالويربايتس Malwarebytes تصحيحًا على منتجاتها.

وفي مزيد من التفاصيل، كشف باحثٌ عن عيب في رزم حماية الأجهزة في عددٍ من برمجيات مكافحة الفيروسات، أطلق عليه اسم “أي في غايتر” AVGater، قد يتيح للمخترقين إمكانية السيطرة على حقوق الإدارة. وتعتمد عملية الاختراق هذه على استغلال الطريقة التي تقوم برمجيات مكافحة الفيروسات بواسطتها بوضع الملفات التي تبدو خبيثة في الحجر الصحي بشكلٍ تلقائي، ومن ثمّ تستعين بثغرة تباين في الامتيازات لنقل تلك الملفات إلى مكانٍ أخطر كقرص “سي:” (C:) الأساسي، حيث يمكن تشغيلها. ومفتاح هذه العملية هو استغلال نقاط التقاء في سجل نظام ملف التكنولوجيا الجديدة، ونتيجة لذلك، يصبح المهاجم قادرًا على فرض مكان تواجد الملفات الموضوعة سابقًا في الحجر الصحي – ولكن ذلك يستوجب وجود “مهاجم محليّ“، مما يقلّص نطاق تأثير هذه الثغرة.

ويمكن أيضًا استخدام ثغرة “آي في غايتر” لإعادة ملفات كانت موضوعة سابقًا في الحجر الصحي إلى مكانٍ آخر في ملفات النظام بشكلٍ عشوائيّ. وهذا ممكن لأن عملية الإعادة تجرى عادةً بواسطة خدمة وضعية المستخدم على برمجيات مكافحة الفيروسات المعطاة الامتياز. وبالتالي، من الممكن التحايل على قوائم التحكّم بالوصول (ACL) الخاصة بملف النظام (بما أنها ليست مهمة بالنسبة لملف “نظام” (SYSTEM) المستخدم). هذا النوع من المشاكل، يطلق عليه اسم “العيب في برمجية الملفات صاحبة الامتياز” ويمكن استخدامها لوضع مكتبة ربط ديناميكي (DLL) خبيثة في أي مكان في النظام.

المصدر