Platform
windows
Component
sheedantivirus
Opgelost in
2.3.1
CVE-2016-20061 beschrijft een unquoted service path kwetsbaarheid in sheed AntiVirus versie 2.3. Deze kwetsbaarheid stelt lokale aanvallers in staat om privileges te escaleren door een kwaadaardig uitvoerbaar bestand in de unquoted service path te plaatsen. Door de service te herstarten of het systeem opnieuw op te starten, kan de aanvaller code uitvoeren met LocalSystem privileges. Er is momenteel geen officiële patch beschikbaar.
CVE-2016-20061 treft sheed AntiVirus versie 2.3 en introduceert een onquoted service path kwetsbaarheid in de ShavProt service. Deze fout maakt het lokale aanvallers mogelijk om hun privileges te verhogen. Een aanvaller kan een kwaadaardig uitvoerbaar bestand in het onquoted service path plaatsen en een service herstart of systeem herstart triggeren om code uit te voeren met LocalSystem privileges, waardoor volledige systeemcontrole wordt verkregen. Het ontbreken van aanhalingstekens in het pad maakt het mogelijk voor het systeem om bestanden in onverwachte mappen te interpreteren als onderdeel van het service pad, waardoor kwaadaardige code injectie wordt vergemakkelijkt. De ernst van deze kwetsbaarheid is hoog (CVSS 7.8) vanwege het potentieel voor privilege escalatie en de relatieve eenvoud van exploitatie.
Exploitatie van CVE-2016-20061 vereist lokale toegang tot het getroffen systeem. Een lokale aanvaller kan een kwaadaardig uitvoerbaar bestand maken en plaatsen in een locatie die deel uitmaakt van het ShavProt service pad. Als het service pad bijvoorbeeld 'C:\ShavProt\shavprot.exe' is, kan de aanvaller een kwaadaardig bestand met de naam 'shavprot.exe' in de map 'C:\' plaatsen. Wanneer de ShavProt service opnieuw wordt gestart of het systeem opnieuw wordt opgestart, voert het systeem het kwaadaardige bestand uit in plaats van het legitieme uitvoerbare bestand, waardoor de aanvaller LocalSystem privileges krijgt. De eenvoud van de exploitatie maakt deze kwetsbaarheid bijzonder zorgwekkend, vooral op systemen met zwakke toegangscontroles.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
Helaas is er geen officiële fix van de ontwikkelaar van sheed AntiVirus voor CVE-2016-20061. De primaire mitigatie is om sheed AntiVirus te verwijderen, vooral als het in kritieke omgevingen wordt gebruikt. Als verwijdering niet mogelijk is, beperk dan de toegang tot het ShavProt service pad sterk en beperk schrijfrechten voor niet-geprivilegieerde gebruikers. Het implementeren van strikte toegangscontrole op het systeem en het monitoren van de ShavProt service activiteit kan helpen bij het detecteren en voorkomen van potentiële aanvallen. Migreren naar een actuele en actief ondersteunde antivirus oplossing is de beste lange termijn praktijk. Het ontbreken van een officiële fix benadrukt het belang van het gebruik van software met continue ondersteuning en beveiligingsupdates.
Actualice a una versión corregida de sheed AntiVirus. Esta vulnerabilidad se puede mitigar deshabilitando o eliminando el servicio ShavProt y asegurándose de que la ruta del servicio esté correctamente entre comillas. Consulte la documentación del proveedor para obtener instrucciones específicas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het betekent dat een aanvaller dezelfde rechten als het besturingssysteem kan verkrijgen, waardoor ze de volledige controle over het systeem kunnen overnemen.
Nee, exploitatie vereist lokale toegang tot het systeem.
Het wordt aanbevolen om het te verwijderen en te migreren naar een veiligere antivirusoplossing.
Er zijn geen specifieke tools, maar het analyseren van de configuratie van de ShavProt service kan het onquoted pad onthullen.
sheed AntiVirus lijkt de ondersteuning en updates te hebben gestaakt, wat het ontbreken van een fix verklaart.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.