Повечето антивируси са били атакувани чрез символни връзки

Изследователи от RACK911 Labs забелязано че почти всички антивирусни пакети за Windows, Linux и macOS са били уязвими за атаки, манипулиращи условия на състезание по време на изтриването на файлове, в които е открит зловреден софтуер.

За да извършите атака, трябва да качите файл, който антивирусът разпознава като злонамерен (например, можете да използвате тестов подпис), и след определено време, след като антивирусът открие злонамерения файл, но непосредствено преди извикването на функцията за да го изтриете, заменете директорията с файла със символна връзка. В Windows, за постигане на същия ефект, заместването на директория се извършва чрез свързване на директория. Проблемът е, че почти всички антивируси не проверяваха правилно символните връзки и, вярвайки, че изтриват злонамерен файл, изтриваха файла в директорията, към която сочи символната връзка.

В Linux и macOS е показано как по този начин непривилегирован потребител може да изтрие /etc/passwd или друг системен файл, а в Windows DDL библиотеката на самата антивирусна да блокира работата й (в Windows атаката е ограничена само до изтриване файлове, които в момента не се използват от други приложения). Например, атакуващият може да създаде директория „exploit“ и да качи файла EpSecApiLib.dll със сигнатура на тестов вирус в нея и след това да замени директорията „exploit“ с връзката „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security“, преди да я изтриете Платформа“, което ще доведе до премахване на библиотеката EpSecApiLib.dll от антивирусния каталог. В Linux и macos може да се направи подобен трик, като се замени директорията с връзката „/etc“.

# / BIN / ш
rm -rf /home/user/exploit; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
докато inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “ОТВОРЕНО”
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
направен

Освен това беше установено, че много антивирусни програми за Linux и macOS използват предсказуеми имена на файлове, когато работят с временни файлове в директорията /tmp и /private/tmp, което може да се използва за ескалиране на привилегиите към потребителя root.

Към момента проблемите вече са отстранени от повечето доставчици, но трябва да се отбележи, че първите известия за проблема бяха изпратени до производителите през есента на 2018 г. Въпреки че не всички доставчици са пуснали актуализации, те са получили поне 6 месеца за корекция и RACK911 Labs вярва, че вече е свободно да разкрива уязвимостите. Отбелязва се, че RACK911 Labs работи върху идентифицирането на уязвимостите от дълго време, но не очакваше, че ще бъде толкова трудно да се работи с колеги от антивирусната индустрия поради забавяне на пускането на актуализации и игнориране на необходимостта от спешно коригиране на сигурността проблеми.

Засегнати продукти (безплатният антивирусен пакет ClamAV не е в списъка):

• Linux
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Защита на файловия сървър на Eset
  • F-Secure Linux сигурност
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus за Linux
• Windows
  • Безплатна антивирусна програма Avast
  • Безплатна антивирусна програма Avira
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure защита на компютъра
  • Защита на крайната точка на FireEye
  • Прихващане X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes за Windows
  • McAfee Endpoint Security
  • Купол Панда
  • Webroot Secure навсякъде
• macOS
  • AVG
  • Обща сигурност на BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (БЕТА)
  • Северна сигурност
  • Sophos Home
  • Webroot Secure навсякъде

  Източник: opennet.ru