Navorsers van RACK911 Labs dat byna alle antiviruspakkette vir Windows, Linux en macOS kwesbaar was vir aanvalle wat rastoestande manipuleer tydens die uitvee van lêers waarin wanware opgespoor is.
Om 'n aanval uit te voer, moet jy 'n lêer oplaai wat die antivirus as kwaadwillig herken (jy kan byvoorbeeld 'n toetshandtekening gebruik), en na 'n sekere tyd, nadat die antivirus die kwaadwillige lêer opgespoor het, maar onmiddellik voordat die funksie gebel word om dit uit te vee, vervang die gids met die lêer met 'n simboliese skakel. Op Windows, om dieselfde effek te bereik, word gidsvervanging uitgevoer met behulp van 'n gidsaansluiting. Die probleem is dat byna alle antivirusse simboliese skakels nie behoorlik nagegaan het nie en, omdat hulle glo dat hulle 'n kwaadwillige lêer uitvee, die lêer in die gids waarna die simboliese skakel verwys, uitgevee het.
In Linux en macOS word daar gewys hoe 'n onbevoorregte gebruiker op hierdie manier /etc/passwd of enige ander stelsellêer kan uitvee, en in Windows die DDL-biblioteek van die antivirus self om sy werk te blokkeer (in Windows is die aanval slegs beperk tot uitvee lêers wat nie tans deur ander toepassings gebruik word nie). Byvoorbeeld, 'n aanvaller kan 'n "exploit"-gids skep en die EpSecApiLib.dll-lêer met 'n toetsvirushandtekening daarin oplaai, en dan die "exploit"-gids vervang met die skakel "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" voordat dit Platform verwyder word", wat sal lei tot die verwydering van die EpSecApiLib.dll-biblioteek uit die antiviruskatalogus. In Linux en Macos kan 'n soortgelyke truuk gedoen word deur die gids met die "/etc"-skakel te vervang.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
terwyl inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
gedoen
Boonop is gevind dat baie antivirusse vir Linux en macOS voorspelbare lêername gebruik wanneer daar met tydelike lêers in die /tmp- en /private/tmp-gids gewerk word, wat gebruik kan word om voorregte na die wortelgebruiker te eskaleer.
Teen hierdie tyd is die probleme reeds deur die meeste verskaffers reggestel, maar dit is opmerklik dat die eerste kennisgewings oor die probleem in die herfs van 2018 aan vervaardigers gestuur is. Alhoewel nie alle verskaffers opdaterings vrygestel het nie, is hulle ten minste 6 maande gegee om te herstel, en RACK911 Labs glo dit is nou vry om die kwesbaarhede te openbaar. Daar word kennis geneem dat RACK911 Labs al lank gewerk het aan die identifisering van kwesbaarhede, maar dit het nie verwag dat dit so moeilik sou wees om saam met kollegas van die antivirusbedryf te werk nie weens vertragings in die vrystelling van opdaterings en die geïgnoreer die behoefte om sekuriteit dringend reg te stel probleme.
Geaffekteerde produkte (die gratis antiviruspakket ClamAV is nie gelys nie):
- Linux
- BitDefender GravityZone
- Comodo eindpunt beveiliging
- Eset lêerbedienersekuriteit
- F-Secure Linux-sekuriteit
- Kaspersy eindpunt sekuriteit
- McAfee Endpoint Security
- Sophos Anti-Virus vir Linux
- Windows
- Avast Gratis Anti-Virus
- Avira gratis anti-virus
- BitDefender GravityZone
- Comodo eindpunt beveiliging
- F-Secure Rekenaarbeskerming
- FireEye-eindpuntbeveiliging
- Onderskeep X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes vir Windows
- McAfee Endpoint Security
- Panda koepel
- Webroot Secure Enigeplek
- MacOS
- AVG
- BitDefender totale sekuriteit
- Eset kuberveiligheid
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Enigeplek
Bron: opennet.ru