Les solutions anti-malware destinées à protéger les organisations pour des choses comme l’augmentation des privilèges peuvent être exploitées pour faire exactement cela.

Les solutions «peuvent involontairement aider les logiciels malveillants à obtenir plus de privilèges sur le système», selon un article de blog CyberArk rédigé par Eron Shimon. «Le grand nombre de machines affectées est gênant; probablement toutes les machines Windows ont eu au moins un logiciel qui pourrait être utilisé de manière abusive pour obtenir des privilèges élevés via des attaques de manipulation de fichiers. »

Les solutions anti-malware «sont plus vulnérables à l’exploitation en raison de leur privilège élevé», a écrit Shimoine, expliquant que les fournisseurs examinés par CyberArk tombent dans l’ensemble pour les mêmes types de vulnérabilités. Bien que le nombre de bogues soit «stupéfiant», beaucoup peuvent «être facilement éliminés».

CyberArk a cité les DACL par défaut du répertoire C: ProgramData comme la première cause de nombreux bogues.

Les utilisateurs malveillants peuvent trouver leur meilleure opportunité d’élever leurs privilèges via le détournement de DLL via des installateurs. Ils sont des fruits mûrs pour les attaquants car, tandis que les fournisseurs mettent à jour à l’intérieur des packages, «ils oublient souvent de mettre à jour le package d’installation», a écrit Shimoine. Essentiellement, seul le code est mis à jour, de sorte que «tout logiciel qui repose sur des infrastructures d’installation est vulnérable au détournement de DLL».

Pour se protéger contre l’exploitation des logiciels malveillants pour l’élévation des privilèges, les organisations recommandées par CyberArk ont ​​recommandé aux organisations de modifier les DACL avant leur utilisation, de corriger l’emprunt d’identité, de mettre à jour les cadres d’installation et d’utiliser LoadLibraryEx au lieu d’une ancienne API LoadLibrary.