ProHoster > وبلاگ > اخبار اینترنتی > بیشتر آنتی ویروس ها از طریق پیوندهای نمادین مورد حمله قرار گرفتند

بیشتر آنتی ویروس ها از طریق پیوندهای نمادین مورد حمله قرار گرفتند

محققان آزمایشگاه RACK911 جلب توجه کرد تقریباً تمام بسته‌های آنتی‌ویروس برای ویندوز، لینوکس و macOS در برابر حملات دستکاری شرایط مسابقه در حین حذف فایل‌هایی که در آنها بدافزار شناسایی شده بود، آسیب‌پذیر بودند.

برای انجام یک حمله، باید فایلی را آپلود کنید که آنتی ویروس آن را مخرب تشخیص دهد (مثلاً می توانید از امضای آزمایشی استفاده کنید)، و پس از مدتی مشخص، پس از شناسایی فایل مخرب توسط آنتی ویروس، اما بلافاصله قبل از فراخوانی تابع. برای حذف آن، دایرکتوری را با فایل با پیوند نمادین جایگزین کنید. در ویندوز، برای رسیدن به همان اثر، جایگزینی دایرکتوری با استفاده از پیوند دایرکتوری انجام می شود. مشکل این است که تقریباً همه آنتی ویروس ها پیوندهای نمادین را به درستی بررسی نمی کنند و با این تصور که در حال حذف یک فایل مخرب هستند، فایل موجود در دایرکتوری را که پیوند نمادین به آن اشاره می کند حذف می کنند.

در لینوکس و macOS نشان داده شده است که چگونه یک کاربر غیرمجاز می تواند /etc/passwd یا هر فایل سیستم دیگری را حذف کند، و در ویندوز کتابخانه DDL خود آنتی ویروس کار آن را مسدود کند (در ویندوز حمله فقط به حذف محدود می شود. فایل هایی که در حال حاضر توسط سایر برنامه ها استفاده نمی شوند). برای مثال، یک مهاجم می‌تواند دایرکتوری «exploit» ایجاد کند و فایل EpSecApiLib.dll را با امضای ویروس آزمایشی در آن آپلود کند و سپس فهرست «exploit» را با پیوند «C:\Program Files (x86)\McAfee\ جایگزین کند. Endpoint Security\Endpoint Security» قبل از حذف آن Platform»، که منجر به حذف کتابخانه EpSecApiLib.dll از کاتالوگ آنتی ویروس می شود. در لینوکس و macos، ترفند مشابهی را می توان با جایگزین کردن دایرکتوری با پیوند "/etc" انجام داد.

# / بن / SH
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
در حالی که inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
انجام شده



علاوه بر این، بسیاری از برنامه‌های آنتی ویروس برای لینوکس و macOS از نام فایل‌های قابل پیش‌بینی هنگام کار با فایل‌های موقت در فهرست‌های /tmp و /private/tmp استفاده می‌کنند، که می‌تواند برای افزایش امتیازات به کاربر اصلی استفاده شود.

در حال حاضر، مشکلات قبلا توسط اکثر تامین کنندگان برطرف شده است، اما قابل ذکر است که اولین اطلاعیه ها در مورد مشکل در پاییز 2018 برای تولید کنندگان ارسال شد. اگرچه همه فروشندگان به‌روزرسانی‌ها را منتشر نکرده‌اند، حداقل 6 ماه برای وصله به آن‌ها فرصت داده شده است و RACK911 Labs بر این باور است که اکنون برای افشای آسیب‌پذیری‌ها رایگان است. خاطرنشان می شود که RACK911 Labs برای مدت طولانی در حال کار بر روی شناسایی آسیب پذیری ها بوده است، اما به دلیل تاخیر در انتشار به روز رسانی ها و نادیده گرفتن نیاز به رفع فوری امنیت، انتظار نداشت که کار با همکاران صنعت آنتی ویروس آنقدر دشوار باشد. چالش ها و مسائل.

محصولات تحت تأثیر (بسته آنتی ویروس رایگان ClamAV لیست نشده است):

  • لینـوکــس
    • BitDefender GravityZone
    • Comodo Endpoint Security
    • Eset File Security Security
    • امنیت لینوکس F-Secure
    • Kaspersy Endpoint Security
    • امنیت McAfee Endpoint
    • Sophos Anti-Virus برای لینوکس
  • ویندوز
    • ضد ویروس Avast Free
    • ضد ویروس رایگان Avira
    • BitDefender GravityZone
    • Comodo Endpoint Security
    • F-Secure Computer protection
    • FireEye Endpoint Security
    • رهگیری X (Sophos)
    • Kaspersky Endpoint Security
    • Malwarebytes برای ویندوز
    • امنیت McAfee Endpoint
    • گنبد پاندا
    • Webroot امن هر کجا
  • از MacOS
    • AVG
    • امنیت کامل BitDefender
    • امنیت سایبری Eset
    • کسپرسکی اینترنت سکیوریتی
    • McAfee Total Protection
    • Microsoft Defender (بتا)
    • امنیت نورتون
    • Sophos Home
    • Webroot امن هر کجا

    منبع: opennet.ru

اضافه کردن نظر