AVAST Antivirus 25.11: podatność Unquoted Service Path umożliwia lokalną eskalację uprawnień w Windows

Wprowadzenie do problemu / definicja

W AVAST Antivirus 25.11 opisano problem bezpieczeństwa związany z podatnością typu Unquoted Service Path w systemie Windows. Tego rodzaju błąd pojawia się wtedy, gdy ścieżka do pliku wykonywalnego usługi zawiera spacje, ale nie została poprawnie ujęta w cudzysłów. W efekcie system operacyjny może nieprawidłowo interpretować kolejne fragmenty ścieżki i próbować uruchomić inny plik niż zamierzony przez producenta.

Jeśli atakujący posiada lokalny dostęp do hosta i może zapisać odpowiednio nazwany plik wykonywalny w analizowanej lokalizacji, może doprowadzić do uruchomienia własnego kodu z uprawnieniami usługi. W praktyce oznacza to możliwość przejścia z poziomu zwykłego użytkownika do znacznie wyższego kontekstu bezpieczeństwa.

W skrócie

Zgłoszony przypadek dotyczy komponentu Avast SecureLine wchodzącego w skład AVAST Antivirus 25.11. Publiczny opis wskazuje na niecytowaną ścieżkę wykonywalną usługi działającej w środowisku Windows.

• problem ma charakter lokalny i nie dotyczy zdalnego wykonania kodu,
• usługa uruchamia się automatycznie,
• proces działa z konta LocalSystem,
• potencjalnym skutkiem jest eskalacja uprawnień do poziomu SYSTEM,
• nie wskazano przypisanego identyfikatora CVE.

Kontekst / historia

Podatności wynikające z niecytowanych ścieżek usług Windows są znane od wielu lat i należą do klasycznych błędów konfiguracyjnych. Mimo dojrzałości platformy Windows oraz szerokiej wiedzy administratorów, problem nadal pojawia się w oprogramowaniu komercyjnym, narzędziach administracyjnych i dodatkowych komponentach instalowanych wraz z aplikacjami bezpieczeństwa.

W analizowanym przypadku opis dotyczy wersji 25.11 produktu AVAST Antivirus testowanej na Windows 11. Wskazano usługę Avast SecureLine, której ścieżka do binarki zawiera spacje i według publicznego opisu nie została prawidłowo objęta cudzysłowami. To szczególnie istotne, gdy usługa startuje automatycznie i działa z wysokimi uprawnieniami systemowymi.

Analiza techniczna

Mechanizm wykorzystania błędu wynika ze sposobu, w jaki Windows rozwiązuje ścieżki do plików wykonywalnych usług. Jeżeli ścieżka zawiera spacje i nie jest ujęta w cudzysłów, system może analizować ją etapami, traktując wcześniejsze segmenty jako potencjalne lokalizacje plików wykonywalnych.

Przykładowo ścieżka w rodzaju C:\Program Files\AVAST Software\SecureLine\VpnSvc.exe bez poprawnego cytowania może zostać zinterpretowana w sposób niezgodny z intencją producenta. Jeśli w jednej z rozpatrywanych lokalizacji znajdzie się złośliwy plik o odpowiedniej nazwie, system może uruchomić go zamiast właściwej binarki usługi.

W opisie podatności podkreślono, że usługa Avast SecureLine działa z konta LocalSystem. To kluczowy aspekt techniczny, ponieważ każda skuteczna podmiana lub przechwycenie ścieżki uruchomieniowej może doprowadzić do wykonania kodu z najwyższymi lokalnymi uprawnieniami w systemie Windows.

Aby atak zakończył się powodzeniem, napastnik musi zwykle spełnić kilka warunków operacyjnych:

• uzyskać lokalny dostęp do systemu,
• mieć możliwość zapisu do jednej z lokalizacji uwzględnianych przy rozwiązywaniu ścieżki,
• umieścić odpowiednio nazwany plik wykonywalny,
• doprowadzić do restartu usługi lub całego systemu.

Z tego względu nie jest to podatność służąca do bezpośredniego ataku zdalnego. Jej znaczenie rośnie jednak w scenariuszach po wstępnym naruszeniu hosta, kiedy atakujący szuka skutecznej metody podniesienia uprawnień.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość lokalnej eskalacji uprawnień do poziomu SYSTEM. W środowisku firmowym może to oznaczać pełne przejęcie stacji roboczej, wyłączenie części mechanizmów ochronnych, instalację złośliwego oprogramowania, utrwalenie obecności napastnika oraz przygotowanie gruntu pod dalszy ruch boczny w sieci.

Realne ryzyko wykorzystania zależy od lokalnej konfiguracji systemu i uprawnień do katalogów. Jeżeli użytkownik nieuprzywilejowany nie może zapisywać plików w newralgicznych lokalizacjach, a środowisko jest odpowiednio utwardzone, wykorzystanie błędu może być utrudnione. Mimo to sama obecność usługi działającej jako LocalSystem z nieprawidłowo zdefiniowaną ścieżką uruchomieniową powinna być traktowana jako istotny problem bezpieczeństwa.

• zagrożone są przede wszystkim stacje robocze po wstępnym kompromitowaniu,
• ryzyko rośnie w środowiskach z nadmiernymi uprawnieniami zapisu,
• podatność może zostać użyta jako element większego łańcucha ataku,
• skutki obejmują utratę integralności, poufności i kontroli nad hostem.

Rekomendacje

Organizacje korzystające z rozwiązań AVAST powinny przeprowadzić przegląd konfiguracji usług Windows pod kątem niecytowanych ścieżek binarnych. Warto przy tym potraktować problem szerzej i objąć audytem również inne aplikacje firm trzecich działające jako usługi systemowe.

• zidentyfikować wszystkie usługi, których ścieżki zawierają spacje i nie są ujęte w cudzysłowie,
• sprawdzić uprawnienia NTFS dla katalogów znajdujących się na drodze rozwiązywania ścieżki,
• ograniczyć możliwość zapisu dla użytkowników standardowych w katalogach systemowych i aplikacyjnych,
• monitorować tworzenie podejrzanych plików wykonywalnych w lokalizacjach pośrednich,
• wdrożyć reguły EDR i SIEM wykrywające nietypowe uruchomienia usług oraz procesów z kontekstem SYSTEM,
• zweryfikować dostępność poprawek producenta lub zmian konfiguracyjnych eliminujących problem,
• uwzględnić audyt usług Windows w regularnych procedurach hardeningu.

Dobrą praktyką jest także przegląd usług uruchamianych automatycznie oraz kontrola, czy nie korzystają one z nadmiernych uprawnień. Ograniczenie powierzchni ataku na poziomie konfiguracji systemu często pozwala wyeliminować błędy, które w innym przypadku mogłyby zostać użyte do przejęcia hosta.

Podsumowanie

Przypadek AVAST Antivirus 25.11 pokazuje, że nawet oprogramowanie związane z bezpieczeństwem może zawierać klasyczne błędy wdrożeniowe prowadzące do lokalnej eskalacji uprawnień. Podatność typu Unquoted Service Path nie jest nową techniką, ale nadal pozostaje skutecznym wektorem nadużyć w systemach Windows, zwłaszcza gdy dotyczy usług uruchamianych automatycznie z konta LocalSystem.

Z perspektywy obrony kluczowe znaczenie ma szybka identyfikacja błędnie skonfigurowanych usług, weryfikacja uprawnień do katalogów oraz stałe monitorowanie anomalii związanych z uruchamianiem procesów o wysokich uprawnieniach. Nawet pozornie prosty błąd konfiguracyjny może stać się ważnym elementem skutecznego łańcucha ataku.

Źródła

• https://www.exploit-db.com/exploits/52510
• https://learn.microsoft.com/en-us/windows/win32/api/winsvc/nf-winsvc-createservicea
• https://attack.mitre.org/techniques/T1548/
• https://learn.microsoft.com/en-us/windows/win32/secauthz/access-control
• https://learn.microsoft.com/en-us/windows/win32/services/service-security-and-access-rights