Ошибка в продуктах FireEye позволяет внедрить вредоносное ПО на защищенную систему

Ошибка в продуктах FireEye позволяет внедрить вредоносное ПО на защищенную систему

Злоумышленник может внести вредонос в "белый список" системы безопасности.

Исследователи компании Blue Frost Security обнаружили ошибку в продуктах FireEye, позволяющую обойти ограничения безопасности. Проэксплуатировав уязвимость , злоумышленник может внедрить вредоносное ПО на целевую систему, несмотря на встроенные функции защиты.

Проблема существует из-за недостаточной проверки входных данных имен файлов в сценарии командной строки для Virtual Execution Engine. Сценарий копирует исполняемые файлы во временную директорию в виртуальной машине, где происходит проверка файлов.

Если в ходе копирования произошло переименование файла (как, например, в команде copy malware.exe “%temp%\fire_in_the_eye.exe”), VXE не осуществляет достаточную проверку имени. В результате злоумышленник может использовать переменные окружения Windows в процессе переименования.

Пример:

1 copy malware.exe "%temp%\FOOC:\Users\admin\AppData\Local\TempBAR.exe"
  2 The filename, directory name, or volume label syntax is incorrect.
  3 0 file(s) copied.

В результате движок проверит пустую виртуальную машину и не обнаружит вредоносного ПО. Сам вредонос будет перемещен в другую директорию.

Злоумышленник также может добавить MD5-хэш вредоносного ПО в «белый список» FireEye. В результате система защиты позволит вредоносному ПО запуститься.

FireEye исправила данную уязвимость в 4 квартале 2015 года.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь