I ricercatori di RACK911 Labs chì quasi tutti i pacchetti antivirus per Windows, Linux è macOS eranu vulnerabili à l'attacchi chì manipulavanu e cundizioni di razza durante l'eliminazione di i fugliali in quale era rilevatu malware.
Per fà un attaccu, avete bisognu di carricà un schedariu chì l'antivirus ricunnosce cum'è malicious (per esempiu, pudete aduprà una firma di prova), è dopu à un certu tempu, dopu chì l'antivirus detecta u schedariu maliziusu, ma immediatamente prima di chjamà a funzione. per sguassà, rimpiazzà u cartulare cù u schedariu cù un ligame simbolicu. In Windows, per ottene u listessu effettu, a sustituzione di u repertoriu hè realizatu cù una junction di directory. U prublema hè chì quasi tutti l'antivirus ùn anu micca verificatu bè i ligami simbolichi è, crede chì anu sguassatu un schedariu maliziusu, sguassate u schedariu in u cartulare à quale u ligame simbolicu punta.
In Linux è macOS hè dimustratu cumu in questu modu un utilizatore senza privilegiu pò sguassà /etc/passwd o qualsiasi altru schedariu di sistema, è in Windows a biblioteca DDL di l'antivirus stessu per bluccà u so travagliu (in Windows l'attaccu hè limitatu solu à sguassà. i schedari chì ùn sò micca attualmente utilizati da altre applicazioni). Per esempiu, un attaccu pò creà un repertoriu "sfruttamentu" è cullà u schedariu EpSecApiLib.dll cù una firma di virus di prova in questu, è poi rimpiazzà u repertoriu "exploit" cù u ligame "C:\Program Files (x86)\McAfee\ Endpoint Security \ Endpoint Security "prima di sguassà Platform", chì portarà à a rimuzione di a libreria EpSecApiLib.dll da u catalogu antivirus. In Linux è macos, un truccu simili pò esse fattu sustituendu u cartulare cù u ligame "/etc".
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
mentre inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
fattu
Inoltre, parechji antivirus per Linux è macOS sò stati trovati per utilizà nomi di schedari prevedibili quandu travaglianu cù fugliali tempuranee in u repertoriu /tmp è /private/tmp, chì puderia esse usatu per scalate privilegi à l'utilizatori root.
Avà, i prublemi sò digià risolti da a maiò parte di i fornituri, ma hè nutate chì i primi notifiche nantu à u prublema sò stati mandati à i pruduttori in a caduta di u 2018. Ancu s'è micca tutti i venditori anu liberatu l'aghjurnamenti, sò stati dati almenu 6 mesi per patch, è RACK911 Labs crede chì hè avà liberu di divulgà e vulnerabili. Hè nutatu chì RACK911 Labs hà travagliatu annantu à l'identificazione di vulnerabilità per un bellu pezzu, ma ùn s'aspittava micca chì saria cusì difficiule di travaglià cù i culleghi di l'industria antivirus per via di ritardi in a liberazione di l'aghjurnamenti è ignurà a necessità di riparà urgentemente a sicurità. prublemi.
Prodotti affettati (u pacchettu antivirus gratuitu ClamAV ùn hè micca listatu):
- Linux
- BitDefender GravityZone
- Sicurezza Endpoint di Comodo
- Sicurezza Eset File Server
- Sicurezza Linux F-Secure
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Anti-Virus Sophos per Linux
- Windows
- Anti-Virus Gratuitu Avast
- Anti-Virus Gratuitu Avira
- BitDefender GravityZone
- Sicurezza Endpoint di Comodo
- F-Secure Prutezzione Informatica
- FireEye Endpoint Security
- Intercepta X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes per Windows
- McAfee Endpoint Security
- Cupola Panda
- Webroot Secure Anywhere
- macOS
- AVG
- Sicurezza Totale BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- Prutezzione Totale McAfee
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Source: opennet.ru