RACK911 Labs-eko ikertzaileak Windows, Linux eta macOSentzako birusen aurkako pakete ia guztiak ahulak zirela lasterketa-baldintzak manipulatzen zituzten erasoen aurrean malwarea detektatu zen fitxategiak ezabatzean.
Eraso bat egiteko, antibirusak gaiztotzat jotzen duen fitxategi bat kargatu behar duzu (adibidez, probako sinadura bat erabil dezakezu), eta denbora jakin baten buruan, antibirusak fitxategi gaiztoa detektatu ondoren, baina funtziora deitu aurretik berehala. ezabatzeko, ordezkatu direktorioa fitxategiarekin lotura sinboliko batekin. Windows-en, efektu bera lortzeko, direktorioen ordezkapena direktorio-juntura baten bidez egiten da. Arazoa da ia antibirus guztiek ez zutela lotura sinbolikoak behar bezala egiaztatu eta, fitxategi maltzurren bat ezabatzen ari zirelakoan, esteka sinbolikoak seinalatzen duen direktorioko fitxategia ezabatu zutela.
Linux eta macOS-en erakusten da nola modu honetan pribilegiorik gabeko erabiltzaile batek /etc/passwd edo beste edozein sistema-fitxategi ezabatu dezakeen, eta Windows-en antibirusaren beraren DDL liburutegia bere lana blokeatzeko (Windows-en erasoa ezabatzera bakarrik mugatzen da. Gaur egun beste aplikazio batzuek erabiltzen ez dituzten fitxategiak). Adibidez, erasotzaileak "exploit" direktorio bat sor dezake eta EpSecApiLib.dll fitxategia probako birusaren sinadura batekin karga dezake bertan, eta, ondoren, "exploit" direktorioa "C:\Program Files (x86)\McAfee\" estekarekin ordezkatu dezake. Endpoint Security\Endpoint Security" plataforma ezabatu aurretik", eta horrek EpSecApiLib.dll liburutegia birusen aurkako katalogotik kentzea ekarriko du. Linux eta macos-en, antzeko trikimailu bat egin daiteke direktorioa "/etc" estekarekin ordezkatuz.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
bitartean inotifywait -m β/home/user/exploit/passwdβ | grep -m 5 "IREKI"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
egin
Gainera, Linux eta macOSentzako antibirus askok fitxategi-izen aurreikusgarriak erabiltzen zituzten /tmp eta /private/tmp direktorioko aldi baterako fitxategiekin lan egiten zutenean, root erabiltzaileari pribilegioak handitzeko erabil litezkeenak.
Honezkero, hornitzaile gehienek dagoeneko konpondu dituzte arazoak, baina nabarmentzekoa da arazoari buruzko lehen jakinarazpenak 2018ko udazkenean bidali zituztela fabrikatzaileei. Saltzaile guztiek eguneraketak kaleratu ez dituzten arren, gutxienez 6 hilabete eman zaizkie adabakiak egiteko, eta RACK911 Labs-ek uste du orain doakoa dela ahultasunak ezagutzera. Kontuan izan da RACK911 Labs-ek ahuleziak identifikatzeko lan egiten duela denbora luzez, baina ez zuen espero birusen aurkako industriako lankideekin lan egitea hain zaila izango zenik eguneraketak kaleratzeko atzerapenengatik eta segurtasuna premiazkoa konpontzeko beharrari alde batera utzita. arazoak.
Kaltetutako produktuak (ClamAV doako birusen aurkako paketea ez dago zerrendatuta):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset fitxategi zerbitzariaren segurtasuna
- F-Secure Linux segurtasuna
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Linuxerako Sophos Anti-Virus
- Windows
- Avast doako birusaren aurkakoa
- Avira doako birusen aurkako
- BitDefender GravityZone
- Comodo Endpoint Security
- F-ordenagailuaren babes segurua
- FireEye Endpoint Security
- Atzeman X (Sophos)
- Kaspersky Endpoint Security
- Windows-erako Malwarebytes
- McAfee Endpoint Security
- Panda kupula
- Webroot segurua edonon
- MacOS
- AVG
- BitDefender segurtasun osoa
- Eset Cyber ββSecurity
- Kaspersky Internet Security
- McAfee Guztira Babesa
- Microsoft Defender (BETA)
- Norton segurtasuna
- Sophos Home
- Webroot segurua edonon
Iturria: opennet.ru