Wykonanie dowolnego kodu z pełnymi uprawnieniami na antywirusach F-Secure – przed odpowiednio spreparowany RAR

Opis podatności i przygotowania exploita. Jak wiemy antywirusy pracują z pełnymi uprawnieniami w systemie, więc podatności właśnie w nich mogą być wyjątkowo bolesne. Tak właśnie mieliśmy z antywirusowymi produktami F-Secure, gdzie przygotowanie odpowiednio złośliwego pliku RAR wykonywało kod na komputerze ofiary.

Autor znaleziska zaprezentował ciekawe demo – okazuje się, że wystarczy przygotować odpowiednią stronę, która będzie serwować nam spreparowany plik. Prosty film pokazujący odpalenie notepada z uprawnieniami NT AUTHORITY\SYSTEM – dostępny jest tutaj.

Producent właśnie załatał podatność, a warto zaznaczyć, że i inne antywiry miały podobne problemy.

–ms