Ошибка в продукции FireEye была обнаружена исследователями из компании Blue Frost Security. Используя уязвимость, хакер может установить вредоносную программу на целевую систему, невзирая на встроенный защитный функционал.
Причиной существования уязвимости является недостаточная проверка входных данных имен файлов в сценарии командной строки для Virtual Execution Engine. В рамках сценария осуществляется копирование исполняемых файлов во временную директорию в виртуальной машине, где будет проходить их проверка.
Если при копировании файл был переименован, то VXE осуществляет проверку имени некорректно. В связи с этим в процессе переименования хакер может воспользоваться переменными окружениями Windows. В итоге VXE проведет проверку пустой виртуальной машины и не выявит вредоносного программного обеспечения. Сама вредоносная программа будет перемещена в другую директорию.
У злоумышленника также есть возможность внести MD5-хэш вредоносного программного обеспечения в «белый список» FireEye, вследствие чего защитная система позволит программе запуститься.
Данная уязвимость была исправлена специалистами FireEye в IV квартале минувшего года.