RACK911 Labsi teadlased et peaaegu kõik Windowsi, Linuxi ja macOS-i viirusetõrjepaketid olid haavatavad rassitingimustega manipuleerivate rünnakute suhtes nende failide kustutamise ajal, milles tuvastati pahavara.
Rünnaku läbiviimiseks peate üles laadima faili, mille viirusetõrje tuvastab pahatahtlikuna (näiteks saate kasutada testallkirja) ja teatud aja pärast, pärast seda, kui viirusetõrje tuvastab pahatahtliku faili, kuid vahetult enne funktsiooni väljakutsumist. selle kustutamiseks asendage kataloog sümboolse lingiga failiga. Windowsis toimub sama efekti saavutamiseks kataloogide asendamine kataloogiühenduse abil. Probleem on selles, et peaaegu kõik viirusetõrjed ei kontrollinud korralikult sümboolseid linke ja uskudes, et nad kustutavad pahatahtlikku faili, kustutasid faili kataloogist, kuhu sümboolne link viitab.
Linuxis ja macOS-is näidatakse, kuidas sel viisil saab privilegeerimata kasutaja kustutada /etc/passwd või mõne muu süsteemifaili ning Windowsis viirusetõrje enda DDL-teegi, et selle töö blokeerida (Windowsis piirdub rünnak ainult kustutamisega failid, mida teised rakendused praegu ei kasuta). Näiteks võib ründaja luua kataloogi "exploit" ja laadida sinna üles testitava viirusesignatuuriga faili EpSecApiLib.dll ning seejärel asendada kataloog "exploit" lingiga "C:\Program Files (x86)\McAfee\". Endpoint Security\Endpoint Security” enne selle platvormi kustutamist”, mis viib EpSecApiLib.dll teegi eemaldamiseni viirusetõrjekataloogist. Linuxis ja macos saab sarnase triki teha, asendades kataloogi lingiga “/etc”.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
tehtud
Lisaks leiti, et paljud Linuxi ja macOS-i viirusetõrjeprogrammid kasutavad kataloogides /tmp ja /private/tmp olevate ajutiste failidega töötamisel etteaimatavaid failinimesid, mida saab kasutada juurkasutaja õiguste suurendamiseks.
Praeguseks on probleemid enamiku tarnijate poolt juba parandatud, kuid tähelepanuväärne on see, et esimesed teated probleemi kohta saadeti tootjatele 2018. aasta sügisel. Kuigi kõik müüjad pole värskendusi välja andnud, on neile paikamiseks antud vähemalt 6 kuud ja RACK911 Labs usub, et nüüd on turvaaukude avalikustamine tasuta. Märgitakse, et RACK911 Labs on haavatavuste tuvastamisega tegelenud pikka aega, kuid ta ei oodanud, et viirusetõrjetööstuse kolleegidega töötamine muutub nii keeruliseks, kuna värskenduste avaldamisel on viivitusi ja eiratakse vajadust kiiresti turvalisust parandada. probleeme.
Mõjutatud tooted (tasuta viirusetõrjepaketti ClamAV ei ole loendis):
- Linux
- BitDefender GravityZone
- Comodo lõpp-punkti turvalisus
- Eseti failiserveri turvalisus
- F-Secure Linuxi turvalisus
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophose viirusetõrje Linuxile
- Windows
- Avast tasuta viirusetõrje
- Avira tasuta viirusetõrje
- BitDefender GravityZone
- Comodo lõpp-punkti turvalisus
- F-Secure arvutikaitse
- FireEye lõpp-punkti turvalisus
- Kuulata X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes Windowsi jaoks
- McAfee Endpoint Security
- Panda kuppel
- Veebijuur turvaline kõikjal
- macOS
- AVG
- BitDefender täielik turvalisus
- Eseti küberturvalisus
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (beeta)
- Norton Security
- Sophos Home
- Veebijuur turvaline kõikjal
Allikas: opennet.ru