Forscher von RACK911 Labs dass fast alle Antivirenpakete für Windows, Linux und macOS anfällig für Angriffe sind, die Race Conditions beim Löschen von Dateien manipulieren, in denen Malware erkannt wurde.
Um einen Angriff durchzuführen, müssen Sie eine Datei hochladen, die das Antivirenprogramm als bösartig erkennt (Sie können beispielsweise eine Testsignatur verwenden), und zwar nach einer bestimmten Zeit, nachdem das Antivirenprogramm die schädliche Datei erkannt hat, aber unmittelbar vor dem Aufruf der Funktion Um es zu löschen, ersetzen Sie das Verzeichnis durch die Datei mit einem symbolischen Link. Um unter Windows den gleichen Effekt zu erzielen, wird die Verzeichnisersetzung mithilfe einer Verzeichnisverbindung durchgeführt. Das Problem besteht darin, dass fast alle Antivirenprogramme symbolische Links nicht ordnungsgemäß überprüft haben und in dem Glauben, sie würden eine schädliche Datei löschen, die Datei in dem Verzeichnis gelöscht haben, auf das der symbolische Link verweist.
In Linux und macOS wird gezeigt, wie ein unprivilegierter Benutzer auf diese Weise /etc/passwd oder jede andere Systemdatei löschen kann, und in Windows die DDL-Bibliothek des Antivirenprogramms selbst, um dessen Arbeit zu blockieren (in Windows beschränkt sich der Angriff nur auf das Löschen). Dateien, die derzeit nicht von anderen Anwendungen verwendet werden). Beispielsweise kann ein Angreifer ein „Exploit“-Verzeichnis erstellen und dort die Datei EpSecApiLib.dll mit einer Testvirensignatur hochladen und dann das „Exploit“-Verzeichnis durch den Link „C:\Programme (x86)\McAfee\“ ersetzen. Endpoint Security\Endpoint Security“ vor dem Löschen der Plattform“, was zur Entfernung der EpSecApiLib.dll-Bibliothek aus dem Antivirenkatalog führt. Unter Linux und MacOS kann ein ähnlicher Trick durchgeführt werden, indem das Verzeichnis durch den Link „/etc“ ersetzt wird.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m „/home/user/exploit/passwd“ | grep -m 5 „ÖFFNEN“
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
erledigt
Darüber hinaus wurde festgestellt, dass viele Antivirenprogramme für Linux und macOS vorhersehbare Dateinamen verwenden, wenn sie mit temporären Dateien in den Verzeichnissen /tmp und /private/tmp arbeiten, die zur Ausweitung der Berechtigungen auf den Root-Benutzer genutzt werden könnten.
Mittlerweile sind die Probleme bei den meisten Zulieferern bereits behoben, bemerkenswert ist jedoch, dass die ersten Meldungen über das Problem bereits im Herbst 2018 an die Hersteller verschickt wurden. Obwohl nicht alle Anbieter Updates veröffentlicht haben, wurde ihnen mindestens sechs Monate Zeit zum Patchen gegeben, und RACK6 Labs geht davon aus, dass es nun frei ist, die Schwachstellen offenzulegen. Es wird darauf hingewiesen, dass RACK911 Labs seit langem an der Identifizierung von Schwachstellen arbeitet, jedoch nicht damit gerechnet hat, dass die Zusammenarbeit mit Kollegen aus der Antivirenbranche aufgrund der Verzögerungen bei der Veröffentlichung von Updates und der Missachtung der Notwendigkeit, die Sicherheit dringend zu beheben, so schwierig sein würde Probleme.
Betroffene Produkte (das kostenlose Antivirenpaket ClamAV ist nicht aufgeführt):
- Linux
- BitDefender GravityZone
- Comodo Endpunktsicherheit
- Eset-Dateiserversicherheit
- F-Secure Linux-Sicherheit
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus für Linux
- Windows
- Avast Free Anti-Virus
- Avira freie Antivirussoftware
- BitDefender GravityZone
- Comodo Endpunktsicherheit
- F-Secure-Computerschutz
- FireEye-Endpunktsicherheit
- X abfangen (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes für Windows
- McAfee Endpoint Security
- Panda Dome
- Webroot Sicher überall
- macOS
- AVG
- BitDefender Gesamtsicherheit
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Startseite
- Webroot Sicher überall
Source: opennet.ru