Ερευνητές από το RACK911 Labs ότι σχεδόν όλα τα πακέτα προστασίας από ιούς για Windows, Linux και macOS ήταν ευάλωτα σε επιθέσεις που χειραγωγούσαν τις συνθήκες αγώνα κατά τη διαγραφή αρχείων στα οποία εντοπίστηκε κακόβουλο λογισμικό.
Για να πραγματοποιήσετε μια επίθεση, πρέπει να ανεβάσετε ένα αρχείο που το πρόγραμμα προστασίας από ιούς αναγνωρίζει ως κακόβουλο (για παράδειγμα, μπορείτε να χρησιμοποιήσετε μια δοκιμαστική υπογραφή) και μετά από ορισμένο χρόνο, αφού το πρόγραμμα προστασίας από ιούς εντοπίσει το κακόβουλο αρχείο, αλλά αμέσως πριν καλέσετε τη λειτουργία για να το διαγράψετε, αντικαταστήστε τον κατάλογο με το αρχείο με έναν συμβολικό σύνδεσμο. Στα Windows, για να επιτευχθεί το ίδιο αποτέλεσμα, η αντικατάσταση καταλόγου πραγματοποιείται χρησιμοποιώντας μια διασταύρωση καταλόγου. Το πρόβλημα είναι ότι σχεδόν όλα τα προγράμματα προστασίας από ιούς δεν έλεγξαν σωστά τους συμβολικούς συνδέσμους και, πιστεύοντας ότι διέγραφαν ένα κακόβουλο αρχείο, διέγραψαν το αρχείο στον κατάλογο στον οποίο οδηγεί ο συμβολικός σύνδεσμος.
Στο Linux και στο macOS φαίνεται πως με αυτόν τον τρόπο ένας μη προνομιούχος χρήστης μπορεί να διαγράψει το /etc/passwd ή οποιοδήποτε άλλο αρχείο συστήματος και στα Windows η ίδια η βιβλιοθήκη DDL του antivirus να μπλοκάρει την εργασία του (στα Windows η επίθεση περιορίζεται μόνο στη διαγραφή αρχεία που δεν χρησιμοποιούνται αυτήν τη στιγμή από άλλες εφαρμογές). Για παράδειγμα, ένας εισβολέας μπορεί να δημιουργήσει έναν κατάλογο "exploit" και να ανεβάσει το αρχείο EpSecApiLib.dll με μια δοκιμαστική υπογραφή ιού σε αυτόν και στη συνέχεια να αντικαταστήσει τον κατάλογο "exploit" με τον σύνδεσμο "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” πριν τη διαγραφή της Πλατφόρμας», η οποία θα οδηγήσει στην αφαίρεση της βιβλιοθήκης EpSecApiLib.dll από τον κατάλογο προστασίας από ιούς. Σε Linux και macos, ένα παρόμοιο κόλπο μπορεί να γίνει αντικαθιστώντας τον κατάλογο με τον σύνδεσμο "/etc".
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
ενώ inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
γίνεται
Επιπλέον, πολλά προγράμματα προστασίας από ιούς για Linux και macOS βρέθηκαν να χρησιμοποιούν προβλέψιμα ονόματα αρχείων όταν εργάζονται με προσωρινά αρχεία στον κατάλογο /tmp και /private/tmp, τα οποία θα μπορούσαν να χρησιμοποιηθούν για την κλιμάκωση των προνομίων στον χρήστη root.
Μέχρι στιγμής, τα προβλήματα έχουν ήδη επιδιορθωθεί από τους περισσότερους προμηθευτές, αλλά είναι αξιοσημείωτο ότι οι πρώτες ειδοποιήσεις σχετικά με το πρόβλημα στάλθηκαν στους κατασκευαστές το φθινόπωρο του 2018. Αν και δεν έχουν κυκλοφορήσει ενημερώσεις όλοι οι προμηθευτές, τους δόθηκε τουλάχιστον 6 μήνες για να επιδιορθώσουν και η RACK911 Labs πιστεύει ότι είναι πλέον δωρεάν να αποκαλύψει τα τρωτά σημεία. Σημειώνεται ότι η RACK911 Labs εργάζεται για τον εντοπισμό τρωτών σημείων για μεγάλο χρονικό διάστημα, αλλά δεν περίμενε ότι θα ήταν τόσο δύσκολο να συνεργαστεί με συναδέλφους από τη βιομηχανία προστασίας από ιούς λόγω καθυστερήσεων στην κυκλοφορία ενημερώσεων και αγνόησης της ανάγκης επείγουσας επιδιόρθωσης ασφάλειας προβλήματα.
Προϊόντα που επηρεάζονται (το δωρεάν πακέτο προστασίας από ιούς ClamAV δεν περιλαμβάνεται στη λίστα):
- Linux
- BitDefender GravityZone
- Ασφάλεια τελικού σημείου Comodo
- Ασφάλεια διακομιστή αρχείων Eset
- F-Secure Linux Security
- Ασφάλεια τελικού σημείου Kaspersy
- McAfee Endpoint Security
- Sophos Anti-Virus για Linux
- Windows
- Avast Δωρεάν Anti-Virus
- Δωρεάν Avira Anti-Virus
- BitDefender GravityZone
- Ασφάλεια τελικού σημείου Comodo
- F-Secure Προστασία υπολογιστή
- FireEye Endpoint Security
- InterceptX (Sophos)
- Ασφάλεια τελικού σημείου Kaspersky
- Malwarebytes για Windows
- McAfee Endpoint Security
- Θόλος Panda
- Webroot Ασφαλής Οπουδήποτε
- macOS
- AVG
- Συνολική ασφάλεια BitDefender
- Eset Cyber Security
- Το Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Αρχική σελίδα της Sophos
- Webroot Ασφαλής Οπουδήποτε
Πηγή: opennet.ru