Из-за уязвимостей в 7-Zip пострадал антивирус F-Secure

Три уязвимости в 7-Zip (CVE-2017-17969, CVE-2018-5996 и CVE-2018-10115) затронули известного производителя антивирусной продукции — F-Secure. Уязвимы оказались все продукты вендора, предназначенные для защиты конечных точек Windows (включая F-Secure Anti-Virus и корпоративные продукты вроде F-Secure Server Security).

Несмотря на то, что упомянутые ошибки в 7-Zip затрагивают продукты F-Secure напрямую, проэксплуатировать их сложнее, чем в случае с самой 7-Zip, так как антивирус правильно взаимодействует с ASLR.

Специалист в области кибербезопасности опубликовал технические детали этой проблемы и расширение для своего эксплойта, которое позволяет провести удаленное выполнение кода на продуктах F-Secure, используя уязвимость CVE-2018-10115.

Саму концепцию данного бага исследователь опубликовал ранее в свое блоге, она сводится к использованию памяти,что позволяет получить контроль над состоянием RAR-декодера.

Специалист предлагает следующую последовательность действий:

1. Использовать декодер Rar3 для извлечения полезной нагрузки в буфер _window.
2. Использовать чтение-запись для замены указателя vtable указателем _window.

Эксперт опубликовал видео, на котором демонстрируется использование эксплойта.

В настоящее время доступны патчи, устраняющие данные проблемы безопасности.