Исследователи компании Blue Frost Security обнаружили ошибку в продуктах FireEye, позволяющую обойти ограничения безопасности. Проэксплуатировав уязвимость, злоумышленник может внедрить вредоносное ПО на целевую систему, несмотря на встроенные функции защиты.

Проблема существует из-за недостаточной проверки входных данных имен файлов в сценарии командной строки для Virtual Execution Engine. Сценарий копирует исполняемые файлы во временную директорию в виртуальной машине, где происходит проверка файлов.

Если в ходе копирования произошло переименование файла (как, например, в команде copy malware. exe “%temp%\fire_in_the_eye. exe”), VXE не осуществляет достаточную проверку имени. В результате злоумышленник может использовать переменные окружения Windows в процессе переименования.

Пример:

1 copy malware. exe "%temp%\FOOC: \Users\admin\AppData\Local\TempBAR.

exe"

2 The filename, directory name, or volume label syntax is incorrect.

3 0 file(s) copied.

В результате движок проверит пустую виртуальную машину и не обнаружит вредоносного ПО. Сам вредонос будет перемещен в другую директорию.

Злоумышленник также может добавить MD5-хэш вредоносного ПО в «белый список» FireEye. В результате система защиты позволит вредоносному ПО запуститься.

FireEye исправила данную уязвимость в 4 квартале 2015 года.