RACK911 Laboratoriyasının tədqiqatçıları Windows, Linux və macOS üçün demək olar ki, bütün antivirus paketlərinin zərərli proqram aşkarlandığı faylların silinməsi zamanı yarış şərtlərini manipulyasiya edən hücumlara qarşı həssas olduğunu bildirib.
Hücum etmək üçün antivirusun zərərli kimi tanıdığı faylı yükləməlisiniz (məsələn, sınaq imzasından istifadə edə bilərsiniz) və müəyyən müddətdən sonra antivirus zərərli faylı aşkar etdikdən sonra, lakin funksiyanı çağırmadan dərhal əvvəl. onu silmək üçün qovluğu simvolik keçid olan faylla əvəz edin. Windows-da eyni effekti əldə etmək üçün kataloqun dəyişdirilməsi kataloq qovşağından istifadə etməklə həyata keçirilir. Problem ondadır ki, demək olar ki, bütün antiviruslar simvolik keçidləri düzgün yoxlamayıb və zərərli faylı sildiklərini düşünərək simvolik keçidin göstərdiyi qovluqdakı faylı siliblər.
Linux və macOS-da bu şəkildə imtiyazsız istifadəçinin /etc/passwd və ya hər hansı digər sistem faylını, Windows-da isə antivirusun DDL kitabxanasını onun işini bloklamaq üçün necə silə biləcəyi göstərilir (Windows-da hücum yalnız silməklə məhdudlaşır. hazırda başqa proqramlar tərəfindən istifadə edilməyən fayllar). Məsələn, təcavüzkar “exploit” kataloqu yarada və ona test virus imzası olan EpSecApiLib.dll faylını yükləyə və sonra “exploit” kataloqunu “C:\Program Files (x86)\McAfee\ linki ilə əvəz edə bilər. Endpoint Security\Endpoint Security” onu silməzdən əvvəl Platforma”, EpSecApiLib.dll kitabxanasının antivirus kataloqundan silinməsinə səbəb olacaq. Linux və macos-da qovluğu “/etc” keçidi ilə əvəz etməklə oxşar hiylə etmək olar.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “AÇIQ”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
işlər
Üstəlik, Linux və macOS üçün bir çox antivirusların /tmp və /private/tmp qovluğunda müvəqqəti fayllarla işləyərkən proqnozlaşdırıla bilən fayl adlarından istifadə etdiyi aşkar edilmişdir ki, bu da kök istifadəçiyə imtiyazları artırmaq üçün istifadə edilə bilər.
İndiyə qədər problemlər əksər təchizatçılar tərəfindən aradan qaldırılıb, lakin diqqətəlayiqdir ki, problemlə bağlı ilk bildirişlər 2018-ci ilin payızında istehsalçılara göndərilib. Bütün satıcılar yeniləmələri buraxmasalar da, onlara yamaq üçün ən azı 6 ay vaxt verilib və RACK911 Labs indi zəiflikləri açıqlamağın pulsuz olduğuna inanır. Qeyd olunur ki, RACK911 Labs uzun müddətdir ki, zəifliklərin müəyyən edilməsi üzərində işləyir, lakin yeniləmələrin buraxılmasında gecikmələr və təhlükəsizliyin təcili şəkildə düzəltmə ehtiyacına məhəl qoymaması səbəbindən antivirus sənayesindəki həmkarları ilə işləməyin bu qədər çətin olacağını gözləmirdi. problemlər.
Təsirə məruz qalan məhsullar (pulsuz antivirus paketi ClamAV siyahıda yoxdur):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset File Server Təhlükəsizliyi
- F-Secure Linux Təhlükəsizliyi
- Kaspersy Endpoint Security
- McAfee Endpoint Təhlükəsizlik
- Linux üçün Sophos Anti-Virus
- Windows
- Avast Pulsuz Antivirus
- Avira Pulsuz Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Kompüter Qoruması
- FireEye Endpoint Təhlükəsizliyi
- Intercept X (Sofos)
- Kaspersky Endpoint Security
- Windows üçün zərərli proqram
- McAfee Endpoint Təhlükəsizlik
- Panda günbəzi
- Webroot Hər yerdə Təhlükəsiz
- MacOS
- Orta
- BitDefender Ümumi Təhlükəsizliyi
- Eset Cyber Security
- Kaspersky İnternet Təhlükəsizliyi
- McAfee Total Protection
- Microsoft Müdafiəçisi (BETA)
- Norton Security
- Sophos Home
- Webroot Hər yerdə Təhlükəsiz
Mənbə: opennet.ru