Investigadores de los laboratorios RACK911 que casi todos los paquetes antivirus para Windows, Linux y macOS eran vulnerables a ataques que manipulaban las condiciones de carrera durante la eliminación de archivos en los que se detectaba malware.
Para llevar a cabo un ataque, es necesario cargar un archivo que el antivirus reconozca como malicioso (por ejemplo, puede usar una firma de prueba), y después de un cierto tiempo, después de que el antivirus detecte el archivo malicioso, pero inmediatamente antes de llamar a la función. para eliminarlo, reemplace el directorio con el archivo con un enlace simbólico. En Windows, para lograr el mismo efecto, la sustitución de directorios se realiza mediante una unión de directorios. El problema es que casi todos los antivirus no comprobaron correctamente los enlaces simbólicos y, creyendo que estaban eliminando un archivo malicioso, eliminaron el archivo en el directorio al que apunta el enlace simbólico.
En Linux y macOS se muestra cómo de esta forma un usuario sin privilegios puede eliminar /etc/passwd o cualquier otro archivo del sistema, y en Windows la biblioteca DDL del propio antivirus para bloquear su trabajo (en Windows el ataque se limita únicamente a eliminar archivos que no son utilizados actualmente por otras aplicaciones). Por ejemplo, un atacante puede crear un directorio "exploit" y cargar en él el archivo EpSecApiLib.dll con una firma de virus de prueba, y luego reemplazar el directorio "exploit" con el enlace "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” antes de eliminarlo Plataforma", lo que provocará la eliminación de la biblioteca EpSecApiLib.dll del catálogo de antivirus. En Linux y macOS, se puede hacer un truco similar reemplazando el directorio con el enlace “/etc”.
#! / Bin / sh
rm -rf /home/usuario/explotar; mkdir /home/usuario/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
mientras inotifywait -m “/home/usuario/exploit/contraseña” | grep -m 5 “ABIERTO”
do
rm -rf /home/usuario/explotar; ln -s /etc /home/usuario/exploit
hecho
Además, se descubrió que muchos antivirus para Linux y macOS utilizan nombres de archivos predecibles cuando trabajan con archivos temporales en los directorios /tmp y /private/tmp, que podrían usarse para escalar privilegios al usuario root.
A estas alturas, la mayoría de los proveedores ya han solucionado los problemas, pero cabe destacar que las primeras notificaciones sobre el problema se enviaron a los fabricantes en el otoño de 2018. Aunque no todos los proveedores han lanzado actualizaciones, se les ha dado al menos 6 meses para parchearlas y RACK911 Labs cree que ahora es libre de revelar las vulnerabilidades. Cabe señalar que RACK911 Labs ha estado trabajando en la identificación de vulnerabilidades durante mucho tiempo, pero no esperaba que fuera tan difícil trabajar con colegas de la industria antivirus debido a los retrasos en la publicación de actualizaciones y al ignorar la necesidad de corregir urgentemente la seguridad. problemas.
Productos afectados (el paquete antivirus gratuito ClamAV no figura en la lista):
- Linux
- Zona de gravedad de BitDefender
- Seguridad de punto final de Comodo
- Seguridad del servidor de archivos Eset
- Seguridad de F-Secure Linux
- Seguridad de puntos finales de Kaspersy
- McAfee Endpoint Security
- Sophos Anti-Virus para Linux
- Windows
- Avast Antivirus gratuito
- Avira Antivirus gratuito
- Zona de gravedad de BitDefender
- Seguridad de punto final de Comodo
- Protección informática F-Secure
- Seguridad de punto final FireEye
- Intercepción X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes para Windows
- McAfee Endpoint Security
- Cúpula Panda
- Webroot seguro en cualquier lugar
- macOS
- AVG
- Seguridad total de BitDefender
- Eset Ciberseguridad
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Seguridad Norton
- Sophos Home
- Webroot seguro en cualquier lugar
Fuente: opennet.ru