Исследователи компании Blue Frost Security обнаружили ошибку в продуктах FireEye, позволяющую обойти ограничения безопасности. Проэксплуатировав уязвимость, злоумышленник может внедрить вредоносное ПО на целевую систему, несмотря на встроенные функции защиты.
Проблема существует из-за недостаточной проверки входных данных имен файлов в сценарии командной строки для Virtual Execution Engine. Сценарий копирует исполняемые файлы во временную директорию в виртуальной машине, где происходит проверка файлов.
Если в ходе копирования произошло переименование файла (как, например, в команде copy malware.exe “%temp%\fire_in_the_eye.exe”), VXE не осуществляет достаточную проверку имени. В результате злоумышленник может использовать переменные окружения Windows в процессе переименования.
Пример:
1 copy malware.exe “%temp%\FOOC:\Users\admin\AppData\Local\TempBAR.exe”
2 The filename, directory name, or volume label syntax is incorrect.
3 0 file(s) copied.
В результате движок проверит пустую виртуальную машину и не обнаружит вредоносного ПО. Сам вредонос будет перемещен в другую директорию.
Злоумышленник также может добавить MD5-хэш вредоносного ПО в “белый список” FireEye. В результате система защиты позволит вредоносному ПО запуститься. FireEye исправила данную уязвимость в 4 квартале 2015 года. (FireEye/NovostIT)