Forskere fra RACK911 Labs at næsten alle antiviruspakker til Windows, Linux og macOS var sårbare over for angreb, der manipulerede raceforhold under sletning af filer, hvor malware blev opdaget.
For at udføre et angreb skal du uploade en fil, som antivirusprogrammet genkender som ondsindet (f.eks. kan du bruge en testsignatur), og efter en vis tid, efter at antivirussen har opdaget den skadelige fil, men umiddelbart før funktionen kaldes for at slette den skal du erstatte mappen med filen med et symbolsk link. På Windows udføres bibliotekssubstitution ved hjælp af et mappekryds for at opnå den samme effekt. Problemet er, at næsten alle antivirusprogrammer ikke kontrollerede symbolske links korrekt, og da de troede, at de slettede en ondsindet fil, slettede de filen i den mappe, som det symbolske link peger til.
I Linux og macOS er det vist, hvordan en uprivilegeret bruger på denne måde kan slette /etc/passwd eller en hvilken som helst anden systemfil, og i Windows selve antivirusbibliotekets DDL-bibliotek for at blokere dets arbejde (i Windows er angrebet kun begrænset til sletning filer, der i øjeblikket ikke bruges af andre programmer). For eksempel kan en angriber oprette en "udnyttelse"-mappe og uploade filen EpSecApiLib.dll med en testvirussignatur ind i den og derefter erstatte "udnytte"-mappen med linket "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security", før du sletter det Platform", hvilket vil føre til fjernelse af EpSecApiLib.dll-biblioteket fra antiviruskataloget. I Linux og Macos kan et lignende trick udføres ved at erstatte mappen med linket "/etc".
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
mens inotifywait -m “/home/user/exploit/passwd” | grep -m 5 "ÅBEN"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
færdig
Desuden viste det sig, at mange antivirus til Linux og macOS brugte forudsigelige filnavne, når de arbejdede med midlertidige filer i mapperne /tmp og /private/tmp, som kunne bruges til at eskalere privilegier til root-brugeren.
På nuværende tidspunkt er problemerne allerede løst af de fleste leverandører, men det er bemærkelsesværdigt, at de første meddelelser om problemet blev sendt til producenterne i efteråret 2018. Selvom ikke alle leverandører har udgivet opdateringer, har de fået mindst 6 måneder til at lappe, og RACK911 Labs mener, at det nu er gratis at afsløre sårbarhederne. Det bemærkes, at RACK911 Labs har arbejdet på at identificere sårbarheder i lang tid, men det forventede ikke, at det ville være så vanskeligt at arbejde med kolleger fra antivirusindustrien på grund af forsinkelser i at frigive opdateringer og ignorere behovet for hurtigst muligt at rette sikkerheden problemer.
Berørte produkter (den gratis antiviruspakke ClamAV er ikke angivet):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset filserversikkerhed
- F-Secure Linux-sikkerhed
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus til Linux
- Windows
- Avast gratis antivirus
- Avira gratis antivirus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure computerbeskyttelse
- FireEye-slutpunktssikkerhed
- InterceptX (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes til Windows
- McAfee Endpoint Security
- Panda kuppel
- Webroot Secure Anywhere
- MacOS
- AVG
- BitDefender Total sikkerhed
- Eset Cybersikkerhed
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Kilde: opennet.ru