Мир: Ошибка в продуктах FireEye позволяет внедрить вредоносное ПО на защищенную систему

1

Исследователи компании Blue Frost Security обнаружили ошибку в продуктах FireEye, позволяющую обойти ограничения безопасности. Проэксплуатировав уязвимость, злоумышленник может внедрить вредоносное ПО на целевую систему, несмотря на встроенные функции защиты.


Проблема существует из-за недостаточной проверки входных данных имен файлов в сценарии командной строки для Virtual Execution Engine. Сценарий копирует исполняемые файлы во временную директорию в виртуальной машине, где происходит проверка файлов.

Если в ходе копирования произошло переименование файла (как, например, в команде copy malware.exe “%temp%\fire_in_the_eye.exe”), VXE не осуществляет достаточную проверку имени. В результате злоумышленник может использовать переменные окружения Windows в процессе переименования.

Пример:

1 copy malware.exe “%temp%\FOOC:\Users\admin\AppData\Local\TempBAR.exe”

2 The filename, directory name, or volume label syntax is incorrect.

3 0 file(s) copied.

В результате движок проверит пустую виртуальную машину и не обнаружит вредоносного ПО. Сам вредонос будет перемещен в другую директорию.

Злоумышленник также может добавить MD5-хэш вредоносного ПО в “белый список” FireEye. В результате система защиты позволит вредоносному ПО запуститься. FireEye исправила данную уязвимость в 4 квартале 2015 года. (FireEye/NovostIT)