Istraživači iz RACK911 Labs da su skoro svi antivirusni paketi za Windows, Linux i macOS bili ranjivi na napade koji manipulišu uslovima trke tokom brisanja fajlova u kojima je otkriven malver.
Da biste izvršili napad, morate učitati datoteku koju antivirus prepoznaje kao zlonamjernu (na primjer, možete koristiti testni potpis), i nakon određenog vremena, nakon što antivirus otkrije zlonamjernu datoteku, ali neposredno prije poziva funkcije da biste ga izbrisali, zamijenite direktorij datotekom sa simboličkom vezom. U Windowsima, da bi se postigao isti efekat, zamjena direktorija se izvodi pomoću spojnice direktorija. Problem je u tome što gotovo svi antivirusi nisu pravilno provjerili simboličke veze i, vjerujući da brišu zlonamjernu datoteku, izbrisali su datoteku u direktoriju na koji simbolički link upućuje.
U Linuxu i macOS-u je prikazano kako na taj način neprivilegirani korisnik može obrisati /etc/passwd ili bilo koji drugi sistemski fajl, a u Windowsu DDL biblioteku samog antivirusa da blokira njegov rad (u Windowsu napad je ograničen samo na brisanje datoteke koje trenutno ne koriste druge aplikacije). Na primjer, napadač može kreirati “exploit” direktorij i u njega učitati datoteku EpSecApiLib.dll sa testnim virusnim potpisom, a zatim zamijeniti “exploit” direktorij vezom “C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” prije nego što ga izbrišete Platforma“, što će dovesti do uklanjanja biblioteke EpSecApiLib.dll iz antivirusnog kataloga. U Linuxu i macosima, sličan trik se može izvesti zamjenom direktorija vezom “/etc”.
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
dok inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OTVOREN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
done
Štoviše, otkriveno je da mnogi antivirusi za Linux i macOS koriste predvidljiva imena datoteka kada rade s privremenim datotekama u direktoriju /tmp i /private/tmp, koji bi se mogli koristiti za eskalaciju privilegija root korisniku.
Do sada su problemi kod većine dobavljača već otklonjeni, ali je važno napomenuti da su prva obavještenja o problemu proizvođačima poslana u jesen 2018. godine. Iako nisu svi dobavljači objavili ažuriranja, dobili su najmanje 6 mjeseci da zakrpe, a RACK911 Labs vjeruje da je sada slobodno otkriti ranjivosti. Napominje se da RACK911 Labs već duže vrijeme radi na identifikaciji ranjivosti, ali nije očekivao da će biti toliko teško raditi s kolegama iz antivirusne industrije zbog kašnjenja u objavljivanju ažuriranja i ignoriranja potrebe za hitnim popravkom sigurnosti. probleme.
Pogođeni proizvodi (besplatni antivirusni paket ClamAV nije naveden):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset Sigurnost poslužitelja datoteka
- F-sigurna Linux sigurnost
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus za Linux
- Windows
- Besplatni antivirusni program Avast
- Besplatni antivirusni virus Avira
- BitDefender GravityZone
- Comodo Endpoint Security
- F-sigurna zaštita računara
- FireEye Endpoint Security
- Presretanje X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes za Windows
- McAfee Endpoint Security
- Panda kupola
- Webroot siguran bilo gdje
- MacOS
- AVG
- BitDefender potpuna sigurnost
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot siguran bilo gdje
izvor: opennet.ru