K7 Antivirusidagi jiddiy zaiflik: oddiy foydalanuvchi qanday qilib SYSTEM huquqlarini qo‘lga kiritishi mumkin?

Axborot xavfsizligi mutaxassislari tomonidan K7 Computing kompaniyasining K7 Ultimate Security mahsulotida aniqlangan yangi zaiflik yirik xavfsizlik muammosiga sabab bo‘ldi. Ushbu zaiflik oddiy, cheklangan huquqlarga ega foydalanuvchilarga ham operatsion tizimning eng yuqori — SYSTEM darajasidagi imtiyozlarni qo‘lga kiritishga imkon yaratadi. Eng qizig‘i, bu jarayon Windows’ning UAC (User Account Control) himoyasini ham chetlab o‘tadi.

Ushbu xatolik xavfsizlik tadqiqotchisi Lukas Layz (Quarkslab) tomonidan o‘rganishlar davomida tasodifan aniqlangan bo‘lib, dastlab u K7RKScan.sys drayveridagi boshqa — xizmatni ishdan chiqarishga olib keluvchi CVE-2024-36424 zaifligini tahlil qilayotgan edi.

Zaiflikning ildizi: noto‘g‘ri sozlangan “named pipe”lar

O‘rganish davomida tadqiqotchilar K7 Security komponentlari o‘zaro muloqot qilish uchun foydalanadigan bir nechta SYSTEM darajasidagi named pipelarni aniqladi. Eng xavflisi shundan iborat ediki, ba’zi pipe’lar haddan tashqari keng ruxsatlar bilan yaratilgan.

Shular qatorida:

  • \\.\pipe\K7MailProxyV1
  • \\.\pipe\K7TSMngrService1

Mazkur pipe’larni oddiy foydalanuvchilar ham hech qanday cheklovlarsiz ochishi, ularga ma’lumot yuborishi yoki ulardan muloqot paketlarini takror ijro etishi mumkin bo‘lib chiqqan. Bu esa to‘g‘ridan-to‘g‘ri xavfli ekspluatatsiya zanjiriga asos yaratgan.

Oddiy foydalanuvchi SYSTEM nomidan buyruqlar bajarishi mumkin

IoNinja va Procmon kabi vositalar yordamida o‘tkazilgan monitoring K7TSMain.exe jarayoni registrga o‘zgarishlar kiritishda aynan K7TSMngrService1 orqali SYSTEM huquqlari bilan ishlashini ko‘rsatdi.

Quyidagisi isbotlandi:

  1. Foydalanuvchi konfiguratsiya sozlamalarini o‘zgartirganda, antivirus ichida maxfiy “binary payload”lar yaratiladi.
  2. Ular SYSTEM darajasidagi jarayon tomonidan qabul qilinadi.
  3. “Past” huquqqa ega foydalanuvchi ushbu paketlarni takrorlab yuborishi orqali himoyani to‘liq o‘chirib qo‘yishi yoki zararli dasturni “oq ro‘yxat”ga kiritishi mumkin.

Bu — o‘ziga xos xavfsizlik devorini aylanib o‘tuvchi yashirin eshik vazifasini bajardi.

Zaiflikning chuqurroq ekspluatatsiyasi: SYSTEM darajasida kod ijrosi

Quarkslab tadqiqotchilari ekspluatatsiyani yanada rivojlantirib, Windows’dagi Image File Execution Options (IFEO) mexanizmi orqali tizim darajasida kod ishga tushirishga muvaffaq bo‘lishdi. Bu MITRE ATT&CK’da T1546.012 sifatida qayd etilgan taniqli hujum texnikasidir.

Ular:

  • K7TSHlpr.exe fayliga yolg‘on “debugger” bog‘lash,
  • soxtalashtirilgan update jarayonini ishga tushirish,
  • SYSTEM huquqlarida ishlovchi buyruqlarni ijro ettirish

yo‘li bilan to‘liq lokal privilegiyalarni oshirishga erishishdi.

Ekspluatatsiya jarayonini to‘liq avtomatlashtiruvchi PowerShell skriptlari ham chop etilgan — ular mudofaa tahlili uchun mo‘ljallangan.

K7 tomonidan chiqarilgan patchlar va ularning chetlab o‘tilishi

K7 Computing kompaniyasi zaiflikni yamoqlash uchun ketma-ket uchta patch chiqardi:

1-patch:

Pipe mijozini tekshirish mexanizmi qo‘shildi.
Ammo bu chetlab o‘tildi: tadqiqotchilar DLL’ni qo‘lda k7tsmngr.exe jarayoniga yuklab TS xizmatiga kira oldilar.

2-patch:

K7Sentry.sys drayverining 22.0.0.70 versiyasi chiqarildi, unda himoyalangan jarayonlarga DLL yuklash bloklandi.
Ammo bu ham chetlab o‘tildi: himoyalangan ro‘yxatga kirmagan imzolangan K7’ning boshqa exe fayllari, masalan K7QuervarCleaningTool.exe, ishlatildi.

3-patch:

Yana qo‘shimcha tekshiruvlar qo‘shildi, ammo Quarkslab hali ham himoyani aylanib o‘tish yo‘llarini ko‘rsatib berdi.

K7 kompaniyasi oxir-oqibat **to‘liq ACL (Access Control List)**ni faqat kelajakdagi major versiyada to‘liq qayta ishlashni rejalashtirayotganini bildirgan.

Xulosa: antivirusning o‘zi xavf manbai bo‘lishi mumkin

K7 Antivirus — tizimning eng ishonchli qatlamida ishlovchi xavfsizlik vositasi. Ammo noto‘g‘ri yaratilgan xizmatlar, himoyalanmagan IPC kanallari va zaif ruxsatlar tufayli bu dastur o‘zi himoya qilishi kerak bo‘lgan tizimga tahdid tug‘dirayotgan holat yuzaga keldi.

Bu hodisa yana bir bor quyidagi haqiqatni tasdiqlaydi:

Xavfsizlik vositalari o‘z vaqtida va to‘g‘ri himoyalanmasa, ular eng xavfli zaiflikka aylanishi mumkin.

Foydalanuvchilar va tashkilotlar uchun tavsiyalar

1. K7 mahsulotlarini ishlatayotganlar uchun:

  • Dasturiy ta’minotni eng so‘nggi versiyaga yangilang.
  • Patchlar bilan tanishing va rasmiy blogdagi tavsiyalarga amal qiling.
  • Tizimda g‘ayritabiiy faoliyatni kuzatib boring.

2. IT administratorlar uchun:

  • Korporativ tarmoqlardagi barcha K7 agentlarini tekshiring.
  • Named pipe ruxsatlarini monitoring qiling.
  • Tarmoqda LPE (Local Privilege Escalation) belgilarini aniqlash bo‘yicha skanerlash o‘tkazing.

3. Xavfsizlik xodimlari uchun:

  • Quarkslab chiqarilgan ekspluatatsiya skriptlarini mudofaa tahlili uchun o‘rganib chiqing.
  • SIEM tizimlariga K7 jarayonlarini monitoring qilish qoidalarini qo‘shing.