Ushbu foydalanish tajovuzkorlarga imtiyozlarni oshirish va SYSTEM imtiyozlari bilan kodni bajarish imkonini berardi.
Check Point dasturi Windows uchun Endpoint Security Initial Client-dagi zaiflikni to`g`irladi. Uning ekspluatatsiyasi tajovuzkorlarga imtiyozlarni oshirish va SYSTEM imtiyozlari bilan kodni bajarish imkonini bergan.
Imtiyozlar balandligi zaifligi (CVE-2019-8790) kiber jinoyatchilarga tizim darajasidagi ruxsatlarga ega zararli dasturlarni ishga tushirishga va dasturlarning “oq ro'yxati”ni chetlab o'tishga imkon beradi (biron bir noma'lum yoki potentsial zararli dasturning bajarilishini oldini olish uchun ishlatiladigan usul).
Zaiflik, xavfsiz DLL yuklash mexanizmining yo'qligi bilan bog'liq (tizim yuklangan DLL raqamli sertifikat bilan imzolanganligini tekshirmaydi). Operatsiya o'zboshimchalik bilan imzolangan DLL-ni Check Point Endpoint Security dasturi tomonidan ishlatiladigan Windows xizmatlaridan biriga o'rnatish orqali amalga oshirilishi mumkin.
Tadqiqotchi Peleg Xadar aniqkaganidek, Check Point Device Auxiliary Framework xizmati ishga tushganda, imzolangan IDAFServerHostService.exe jarayoni NT AUTHORITY \ SYSTEM (foydalanuvchi uchun eng maqbul hisob) sifatida ishlaydi. Xizmatni ishga tushirgandan so'ng, Windows PATH muhitidagi turli papkalardan atl110.dll nomli DLL-kutubxonani yuklashga harakat qiladi. Boshqalar qatorida, xizmat C: / python27 papkasini har qanday vakolatli foydalanuvchiga yozish huquqini beradigan kirishni boshqarish ro'yxati bilan tekshiradi. Shunday qilib, tadqiqotchi odatiy huquqlarga ega bo'lib, etishmayotgan DLL-kutubxonani yuklashi va NT AUTHORITY \ SYSTEM huquqlari bilan kodni bajarishi mumkin bo`lgan..
Check Point ushbu zaiflikni Windows uchun Endpoint Security Initial Client E81.30 versiyasi bilan tuzatdi.
Batafsil: https://www.securitylab.ru/news/500660.php