Výzkumníci z RACK911 Labs
Chcete-li provést útok, musíte nahrát soubor, který antivirus rozpozná jako škodlivý (můžete například použít testovací podpis), a po určité době, poté, co antivirus detekuje škodlivý soubor, ale bezprostředně před voláním funkce chcete-li jej odstranit, nahraďte adresář se souborem symbolickým odkazem. V systému Windows se k dosažení stejného efektu provádí náhrada adresáře pomocí spojení adresářů. Problém je, že téměř všechny antiviry řádně nekontrolovaly symbolické odkazy a v domnění, že mažou škodlivý soubor, smazaly soubor v adresáři, na který symbolický odkaz ukazuje.
V Linuxu a macOS je ukázáno, jak tímto způsobem může neprivilegovaný uživatel smazat /etc/passwd nebo jakýkoli jiný systémový soubor a ve Windows DDL knihovnu samotného antiviru zablokovat jeho práci (ve Windows je útok omezen pouze na smazání soubory, které nejsou aktuálně používány jinými aplikacemi). Útočník může například vytvořit adresář „exploit“ a nahrát do něj soubor EpSecApiLib.dll s podpisem testovacího viru a poté nahradit adresář „exploit“ odkazem „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” před jeho odstraněním Platform”, což povede k odstranění knihovny EpSecApiLib.dll z katalogu antivirů. V Linuxu a macos lze podobný trik provést nahrazením adresáře odkazem „/etc“.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
zatímco inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OTEVŘENO”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
hotový
Navíc bylo zjištěno, že mnoho antivirových programů pro Linux a macOS používá předvídatelné názvy souborů při práci s dočasnými soubory v adresářích /tmp a /private/tmp, které lze použít k eskalaci oprávnění na uživatele root.
V současné době již byly problémy vyřešeny většinou dodavatelů, ale je pozoruhodné, že první oznámení o problému byla zaslána výrobcům na podzim roku 2018. Ačkoli ne všichni dodavatelé vydali aktualizace, dostali alespoň 6 měsíců na opravu a RACK911 Labs věří, že nyní mohou zranitelnosti zveřejnit. Je třeba poznamenat, že RACK911 Labs pracoval na identifikaci zranitelností již dlouhou dobu, ale neočekával, že bude tak obtížné spolupracovat s kolegy z antivirového průmyslu kvůli zpožděním ve vydávání aktualizací a ignorování potřeby urychleně opravit zabezpečení problémy.
Dotčené produkty (bezplatný antivirový balíček ClamAV není uveden):
- Linux
- Gravitační zóna BitDefender
- Zabezpečení Comodo Endpoint
- Zabezpečení souborového serveru Eset
- Zabezpečení systému F-Secure Linux
- Kaspersy Endpoint Security
- Zabezpečení McAfee Endpoint
- Sophos Anti-Virus pro Linux
- Windows
- Avast Free Anti-Virus
- Avira Free Anti-Virus
- Gravitační zóna BitDefender
- Zabezpečení Comodo Endpoint
- Ochrana počítače F-Secure
- Zabezpečení FireEye Endpoint
- InterceptX (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes pro Windows
- Zabezpečení McAfee Endpoint
- Kopule Panda
- Webroot Secure Anywhere
- macOS
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Zdroj: opennet.ru