Эксперты рассказали, как взломать связанные с VirusTotal сторонние антивирусные песочницы

Исследователи безопасности из Cysource рассказали об уязвимости, позволявшей использовать платформу VirusTotal для удаленного выполнения кода на необновленных машинах с песочницей, на которых установлены антивирусные движки.

Как пояснили исследователи, теперь уже исправленная уязвимость позволяла «удаленно выполнять команды через платформу VirusTotal и получать доступ к ее различным функциям сканирования».

VirusTotal, являющийся сервисом дочерней компании Google Chronicle, представляет собой сканер вредоносного ПО, анализирующий подозрительные файлы и URL-ссылки и проверяющий на наличие вирусов с помощью более 70 сторонних антивирусных продуктов.

Атака предполагает загрузку через пользовательский web-интерфейс файла DjVu, который затем передается множеству сторонних антивирусных движков и может вызвать эксплуатацию высокоопасной уязвимости удаленного выполнения кода в ExifTool – утилите с открытым исходным кодом для чтения и редактирования метаданных EXIF в изображениях и файлах PDF.

Уязвимость CVE-2021-22204 существовала из-за некорректной обработки утилитой ExifTool файлов DjVu и была исправлена 13 апреля 2021 года.

В результате эксплуатации уязвимости исследователям удалось установить обратную оболочку на затронутые машины, связанные с некоторыми антивирусными решениями, на которых не было установлено исправление.

Проблема не затрагивает саму платформу VirusTotal, которая работает именно так, как положено. Выполнение кода происходит не на платформе, а в сторонних системах сканирования, анализирующих и выполняющих образцы. В настоящее время VirusTotal использует неуязвимую версию ExifTool.