Как мы видим на сайте CyberArk, несколько антивирусных программ были протестированы и исследованы на наличие уязвимостей, в результате чего был предоставлен целый список CVE, связанных с уязвимостями, которыепозволил вредоносному ПО повысить привилегии через сам антивирус , таким образом получив достаточный контроль над машиной, чтобы вызвать серьезные проблемы.
Среди пострадавших компаний есть продукты от Kaspersky, McAfee, Symantec, Fortinet, Checkpoint, Trend Micro, Avira и даже Microsoft, так что включенный сам антивирус с Windows 10 это была такая уязвимость.
Все системные пользователи имеют разрешение на запись и удаление в DACL папки ProgramData
В любом случае, следуя правильному ходу событий, эти уязвимости уже были исправлены различными компаниями, поэтому нам не о чем беспокоиться, правильно ли обновили нашу команду. Обычно антивирусы стремятся обновляться постоянно и автоматически, , так что уязвимости такого типа можно исправить за считанные минуты.
Как бы то ни было, эта проблема в основном была вызвана используемыми по умолчанию дискреционными списками управления доступом - или DACL- для папки ProgramData в Windows, которые являются полностью разрешительными и точка входа для злоумышленника, который может воспользоваться всей цепочкой ошибок, которые мы можем найти по пути.