Даследнікі з кампаніі RACK911 Labs на тое, што амаль усе антывірусныя пакеты для Windows, Linux і macOS былі ўразлівыя для нападаў, якія маніпулююць станам гонкі (race conditions) падчас выдалення файлаў, у якіх выяўлена шкоднаснае ПА.
Для правядзення нападу неабходна загрузіць файл, які антывірус распазнае як шкоднасны (напрыклад, можна выкарыстоўваць тэставую сігнатуру), а праз вызначаны час, пасля выяўлення шкоднаснага файла антывірусам, але непасрэдна перад выклікам функцыі для яго выдалення, падмяніць каталог з файлам сімвалічнай спасылкай. У Windows для дасягнення таго ж эфекту выконваецца падмена каталога пры дапамозе кропкі злучэння (directory junction). Праблема ў тым, амаль усе антывірусы належным чынам не выконвалі праверку сімвалічных спасылак і, лічачы што выдаляюць шкоднасны файл, выдалялі файл у каталогу на які паказвае сімвалічная спасылка.
У Linux і macOS паказана як такім спосабам непрывілеяваны карыстач можа выдаліць /etc/passwd ці любы іншы сістэмны файл, а ў Windows DDL-бібліятэку самага антывіруса для блакавання яго працы (у Windows напад абмежаваная толькі выдаленнем файлаў, якія ў бягучым момант не выкарыстоўваюцца іншымі дадаткамі). Напрыклад, атакавалы можа стварыць каталог «exploit» і загрузіць у яго файл EpSecApiLib.dll з тэставай сігнатурай віруса, пасля чаго перад выдаленнем замяніць каталог «exploit» на спасылку «C: Program Files (x86) McAfee Endpoint Security Endpoint Security Platform», што прывядзе да выдалення бібліятэкі EpSecApiLib.dll з каталога антывіруса. У Linux і macos аналагічны прыём можна прарабіць з падменай каталога на спасылку "/etc".
#! / Bin / ш
rm -rf /home/user/exploit; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
зроблены
Больш таго, у шматлікіх антывірусах для Linux і macOS было выяўлена выкарыстанне прадказальных імёнаў файлаў пры працы з часавым файламі ў каталогу /tmp і /private/tmp, што магло выкарыстоўвацца для падвышэння прывілеяў да карыстача root.
Да цяперашняга часу праблемы ўжо ўхіленыя большасцю пастаўшчыкоў, але характэрна, што першыя апавяшчэнні аб праблеме былі накіраваныя вытворцам яшчэ ўвосень 2018 гады. Нягледзячы на тое, што не ўсе вытворцы выпусцілі абнаўленні, ім было дадзена на выпраўленне як мінімум 6 месяцаў, і RACK911 Labs лічыць, што зараз мае права раскрыць звесткі аб уразлівасцях. Адзначаецца, што кампанія RACK911 Labs даўно займаецца працай па выяўленні ўразлівасцяў, але яна не меркавала, што з калегамі з антывіруснай індустрыі будзе так цяжка працаваць з-за зацягванні выпуску абнаўленняў і ігнаравання неабходнасці тэрміновага ўхілення праблем з бяспекай.
Прадукты, схільныя да праблемы (вольны антывірусны пакет ClamAV у спісе адсутнічае):
- Linux
- BitDefender GravityZone
- Канчатковая кропка Comodo Security
- Бяспека файлавага сервера Eset
- F-Secure Linux Security
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Антывірус Sophos для Linux
- Windows
- Бясплатны антывірус Avast
- Бясплатны антывірус Avira
- BitDefender GravityZone
- Канчатковая кропка Comodo Security
- Абарона кампутара F-Secure
- Бяспека канчатковай кропкі FireEye
- Перахоп X (Софас)
- Канчатковая бяспека Касперскага
- Malwarebytes для Windows
- McAfee Endpoint Security
- Купала Панда
- Webroot Secure Anywhere
- Macos
- AVG
- Агульная бяспека BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (БЕТА)
- Нортан бяспекі
- Sophos Галоўная
- Webroot Secure Anywhere
Крыніца: opennet.ru