Опубликована программа, эксплуатирующая уязвимость антивирусной системы

Программу (эксплойт), использующую уязвимость антивирусного пакета Zemana AntiMalware, опубликовал исследователь с псевдонимом Mumbai 27 марта на площадке github.com.

Автор пояснил, что экспойт реализует атаку типа рефлексивная DLL-инъекция, что позволяет получить идентификатор потока процесса Protected Process Light (PPL) и внедрить туда собственный код. Исследователь отметил, что об этой уязвимости стало известно в 2018 году. «Я только расширил это… для того, чтобы открыть поток с FULLACCESS_ (полный доступ — прим. ИА Красная Весна)», — добавил Mumbai.

Исследователь объяснил, что технология компании Microsoft PPL не позволяет получать идентификаторы критических процессов уровня ядра. «Поэтому я исследовал различные способы атак на ядро операционной системы и обнаружил один успешный метод — использовать украденный драйвер ядра для открытия привилегированного идентификатора процесса и его основных потоков», — пояснил он.

Кроме того, исследователь заявил, что эксплойт успешно реализует атаку в операционных системах семейства Microsoft Windows 10 версии 1909 и 1903.