Mga tigdukiduki gikan sa RACK911 Labs nga halos tanang antivirus packages para sa Windows, Linux ug macOS bulnerable sa mga pag-atake nga nagmaniobra sa mga kondisyon sa lumba atol sa pagtangtang sa mga file diin nakita ang malware.
Aron mahimo ang usa ka pag-atake, kinahanglan nimo nga mag-upload sa usa ka file nga giila sa antivirus nga malisyoso (pananglitan, mahimo nimong gamiton ang usa ka pirma sa pagsulay), ug pagkahuman sa usa ka piho nga oras, pagkahuman nakit-an sa antivirus ang makadaot nga file, apan sa wala pa tawagan ang function. aron mapapas kini, pulihan ang direktoryo sa file nga adunay simbolo nga link. Sa Windows, aron makab-ot ang parehas nga epekto, ang pagpuli sa direktoryo gihimo gamit ang usa ka junction sa direktoryo. Ang problema mao nga hapit tanan nga mga antivirus wala nagsusi sa husto nga mga simbolo nga link ug, sa pagtuo nga ilang gitangtang ang usa ka makadaot nga file, gitangtang ang file sa direktoryo diin gipunting ang simbolo nga link.
Sa Linux ug macOS gipakita kung giunsa sa niini nga paagi ang usa ka dili pribilihiyo nga tiggamit makatangtang sa /etc/passwd o bisan unsang ubang file sa sistema, ug sa Windows ang DDL library sa antivirus mismo aron babagan ang trabaho niini (sa Windows ang pag-atake limitado lamang sa pagtangtang. mga file nga wala gigamit karon sa ubang mga aplikasyon). Pananglitan, ang usa ka tig-atake makahimo og usa ka "pagpahimulos" nga direktoryo ug i-upload ang EpSecApiLib.dll nga file nga adunay usa ka pagsulay nga virus nga pirma niini, ug dayon ilisan ang "pagpahimulos" nga direktoryo sa link nga "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" sa dili pa kini tangtangon Platform", nga mosangpot sa pagtangtang sa EpSecApiLib.dll library gikan sa antivirus catalog. Sa Linux ug macos, ang susamang limbong mahimo pinaagi sa pag-ilis sa direktoryo sa link nga "/etc".
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
samtang inotifywait -m β/home/user/exploit/passwdβ | grep -m 5 βOPENβ
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
nahimo
Dugang pa, daghang mga antivirus alang sa Linux ug macOS ang nakit-an nga naggamit sa matag-an nga mga ngalan sa file kung nagtrabaho kauban ang mga temporaryo nga file sa direktoryo nga /tmp ug /pribado/tmp, nga magamit aron madugangan ang mga pribilehiyo sa gamut nga tiggamit.
Sa pagkakaron, ang mga problema naayo na sa kadaghanan sa mga suppliers, apan matikdan nga ang unang mga pahibalo mahitungod sa problema gipadala ngadto sa mga tiggama sa tingdagdag sa 2018. Bisan kung dili tanan nga mga tigbaligya nagpagawas sa mga update, gihatagan sila labing menos 6 ka bulan aron ma-patch, ug ang RACK911 Labs nagtuo nga libre na nga ibutyag ang mga kahuyangan. Namatikdan nga ang RACK911 Labs nagtrabaho sa pag-ila sa mga kahuyangan sa dugay nga panahon, apan wala kini magdahom nga lisud kaayo ang pagtrabaho kauban ang mga kauban gikan sa industriya sa antivirus tungod sa mga paglangan sa pagpagawas sa mga update ug wala magtagad sa panginahanglan sa dinalian nga pag-ayo sa seguridad. mga problema.
Naapektuhan nga mga produkto (ang libre nga antivirus package nga ClamAV wala gilista):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset Seguridad sa File Server
- F-Secure nga Linux Security
- Kaspersy Endpoint Security
- Seguridad sa Endak sa McAfee
- Sophos Anti-Virus alang sa Linux
- Windows
- Avast Libre nga Anti-Virus
- Avira Libre nga Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure nga Proteksyon sa Computer
- FireEye Endpoint Security
- Gikuptan X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes alang sa Windows
- Seguridad sa Endak sa McAfee
- Panda simboryo
- Pag-secure sa Webroot bisan diin man
- macOS
- AVG
- Ang Kinatibuk-ang Security sa BitDefender
- Eset Cyber ββSecurity
- Kaspersky Internet Security
- McAfee Total nga Proteksyon
- Microsoft Defender (BETA)
- Norton Security
- Home Sophos
- Pag-secure sa Webroot bisan diin man
Source: opennet.ru