Linki symboliczne w Windows umożliwiły otrzymanie lokalnego admina na popularnych antywirusach

To w skrócie podatność AVGater. Istota problemu to:

 #AVGater can be used to restore a previously quarantined file to any arbitrary filesystem location.

Czyli będąc lokalnym, nieuprawnionym użytkownikiem, możemy wrzucić plik będący w kwarantannie do dowolnego katalogu (np. do C:/Windows). Dalej – można np. w ten sposób „podrzucić” własną bibliotekę i uzyskać wykonanie kodu z pełnymi uprawnieniami.

Głównym problemem, który został tu wykorzystany – to odpowiednio złośliwe wykorzystanie tzw. junction points w NTFS (czyli linków symbolicznych do katalogów), a dokładniej procedura wygląda mniej więcej tak:

tworzymy złośliwy plik w katalogu X i umieszczamy go w kwarantannie, kasujemy katalog i w miejsce jego tworzymy windowsowego symlinka – np. do C:/Windows

Przywracamy plik z kwarantanny i zostaje on przywrócony do oryginalnego katalogu X (z uprawnieniami, na których działa antywirus)  – który teraz jednak wskazuje na C:/Windows.

Z podatnych antywirusów wskazano: Kasperskiego, Malwarebytes, Emsisoft, Trend Micro, Zone Alarm czy Ikarus (w najnowszych wersjach powinny być już załatane). Kolejni producenci ponoć wypuszczą jeszcze patche… (choć oczywiście nie wszyscy są podatni).

Autor znaleziska zaznacza również, że rekomenduje się uniemożliwienie lokalnemu użytkownikowi odzyskanie (restore) plików z kwarantanny:

Furthermore, as #AVGator can only be exploited if the user is allowed to restore previously quarantined file, I recommend everyone within a corporate environment to block normal users from restoring identified threats.

–ms