ProHoster > بلوق > أخبار الإنترنت > تم مهاجمة معظم مضادات الفيروسات من خلال روابط رمزية

تم مهاجمة معظم مضادات الفيروسات من خلال روابط رمزية

باحثون من مختبرات RACK911 لفت الانتباه أن جميع حزم مكافحة الفيروسات لأنظمة التشغيل Windows وLinux وmacOS تقريبًا كانت عرضة للهجمات التي تتلاعب بظروف السباق أثناء حذف الملفات التي تم اكتشاف برامج ضارة فيها.

لتنفيذ هجوم، تحتاج إلى تحميل ملف يتعرف عليه برنامج مكافحة الفيروسات على أنه ضار (على سبيل المثال، يمكنك استخدام توقيع اختبار)، وبعد وقت معين، بعد أن يكتشف برنامج مكافحة الفيروسات الملف الضار، ولكن مباشرة قبل استدعاء الوظيفة ولحذفه، استبدل الدليل بالملف برابط رمزي. في نظام التشغيل Windows، لتحقيق نفس التأثير، يتم إجراء استبدال الدليل باستخدام وصلة الدليل. المشكلة هي أن جميع برامج مكافحة الفيروسات تقريبًا لم تتحقق بشكل صحيح من الروابط الرمزية، واعتقدت أنها تحذف ملفًا ضارًا، فقامت بحذف الملف الموجود في الدليل الذي يشير إليه الارتباط الرمزي.

في Linux وmacOS، يظهر كيف يمكن لمستخدم لا يتمتع بامتيازات حذف /etc/passwd أو أي ملف نظام آخر، وفي Windows مكتبة DDL الخاصة ببرنامج مكافحة الفيروسات نفسه لمنع عمله (في Windows يقتصر الهجوم فقط على الحذف الملفات التي لا تستخدمها حاليًا التطبيقات الأخرى). على سبيل المثال، يمكن للمهاجم إنشاء دليل "استغلال" وتحميل ملف EpSecApiLib.dll مع توقيع فيروس اختباري فيه، ثم استبدال دليل "استغلال" بالرابط "C:\Program Files (x86)\McAfee\". "Endpoint Security\Endpoint Security" قبل حذف النظام الأساسي"، الأمر الذي سيؤدي إلى إزالة مكتبة EpSecApiLib.dll من كتالوج مكافحة الفيروسات. في Linux وmacos، يمكن القيام بخدعة مماثلة عن طريق استبدال الدليل بالرابط "/etc".

# / بن / ش
rm -rf /home/user/exploit; مكدير /الصفحة الرئيسية/المستخدم/استغلال/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
أثناء inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "مفتوح"
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
فعل



علاوة على ذلك، وجد أن العديد من برامج مكافحة الفيروسات لنظامي التشغيل Linux وmacOS تستخدم أسماء ملفات يمكن التنبؤ بها عند العمل مع الملفات المؤقتة في الدليل /tmp و/private/tmp، والتي يمكن استخدامها لتصعيد الامتيازات إلى المستخدم الجذر.

حتى الآن، تم بالفعل إصلاح المشكلات من قبل معظم الموردين، ولكن من الجدير بالذكر أن الإخطارات الأولى حول المشكلة تم إرسالها إلى الشركات المصنعة في خريف عام 2018. على الرغم من عدم قيام جميع البائعين بإصدار التحديثات، فقد تم منحهم 6 أشهر على الأقل للتصحيح، وتعتقد RACK911 Labs أنه أصبح الآن مجانيًا للكشف عن الثغرات الأمنية. تجدر الإشارة إلى أن RACK911 Labs تعمل على تحديد الثغرات الأمنية منذ فترة طويلة، لكنها لم تتوقع أنه سيكون من الصعب جدًا العمل مع الزملاء من صناعة مكافحة الفيروسات بسبب التأخير في إصدار التحديثات وتجاهل الحاجة إلى إصلاح الأمان بشكل عاجل مشاكل.

المنتجات المتأثرة (حزمة مكافحة الفيروسات المجانية ClamAV غير مدرجة):

  • لينكس
    • بيتدفندر جرافيتي زون
    • أمان نقطة النهاية كمودو
    • أمان خادم ملف Eset
    • أمان F-Secure Linux
    • برنامج Kaspersy Endpoint Security
    • أمان مكافي إندبوينت
    • برنامج Sophos Anti-Virus لنظام التشغيل Linux
  • Windows
    • آفاست مكافح فيروسات مجاني
    • برنامج Avira Free Anti-Virus
    • بيتدفندر جرافيتي زون
    • أمان نقطة النهاية كمودو
    • F-Secure حماية الكمبيوتر
    • أمان نقطة نهاية FireEye
    • اعتراض X (سوفوس)
    • برنامج Kaspersky Endpoint Security
    • Malwarebytes لنظام التشغيل Windows
    • أمان مكافي إندبوينت
    • قبة الباندا
    • Webroot Secure في أي مكان
  • ماك
    • AVG
    • برنامج بيتدفندر للأمن الشامل
    • Eset Cyber ​​Security
    • كاسبرسكي لأمن الإنترنت
    • McAfee Total Protection
    • Microsoft Defender (إصدار تجريبي)
    • الأمن نورتون
    • سوفوس الرئيسية
    • Webroot Secure في أي مكان

    المصدر: opennet.ru

إضافة تعليق