RACK911 Labsin tutkijat että lähes kaikki Windows-, Linux- ja macOS-virustorjuntapaketit olivat haavoittuvia kilpailuolosuhteita manipuloiville hyökkäyksille poistettaessa tiedostoja, joissa haittaohjelmia havaittiin.
Hyökkäyksen suorittamiseksi sinun on ladattava tiedosto, jonka virustorjunta tunnistaa haitalliseksi (voit esimerkiksi käyttää testiallekirjoitusta), ja tietyn ajan kuluttua, kun virustorjunta havaitsee haitallisen tiedoston, mutta välittömästi ennen toiminnon kutsumista poista se korvaamalla hakemisto symbolisella linkillä varustetulla tiedostolla. Windowsissa saman vaikutuksen saavuttamiseksi hakemistojen korvaaminen suoritetaan käyttämällä hakemistoliitosta. Ongelmana on, että lähes kaikki virustentorjuntaohjelmat eivät tarkistaneet symbolisia linkkejä kunnolla ja uskoen poistavansa haitallista tiedostoa poistivat tiedoston hakemistosta, johon symbolinen linkki osoittaa.
Linuxissa ja macOS:ssä näytetään, miten etuoikeutettu käyttäjä voi tällä tavalla poistaa /etc/passwd tai minkä tahansa muun järjestelmätiedoston ja Windowsissa itse virustorjunnan DDL-kirjaston estääkseen sen työn (Windowsissa hyökkäys rajoittuu vain poistamiseen tiedostot, joita muut sovellukset eivät tällä hetkellä käytä). Hyökkääjä voi esimerkiksi luoda "exploit"-hakemiston ja ladata siihen EpSecApiLib.dll-tiedoston testivirustunnisteella ja korvata sitten exploit-hakemiston linkillä "C:\Program Files (x86)\McAfee\". Endpoint Security\Endpoint Security" ennen sen poistamista Platform", mikä johtaa EpSecApiLib.dll-kirjaston poistamiseen virustentorjuntaluettelosta. Linuxissa ja macoissa samanlainen temppu voidaan tehdä korvaamalla hakemisto "/etc"-linkillä.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “AUKI”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
tehty
Lisäksi monien Linux- ja macOS-virustorjuntaohjelmien havaittiin käyttävän ennustettavia tiedostonimiä työskennellessään väliaikaisten tiedostojen kanssa /tmp- ja /private/tmp-hakemistoissa, joita voitaisiin käyttää pääkäyttäjän oikeuksien jakamiseen.
Tähän mennessä useimmat tavarantoimittajat ovat jo korjanneet ongelmat, mutta huomionarvoista on, että ensimmäiset ilmoitukset ongelmasta lähetettiin valmistajille syksyllä 2018. Vaikka kaikki toimittajat eivät ole julkaisseet päivityksiä, niille on annettu vähintään kuusi kuukautta aikaa korjata, ja RACK6 Labs uskoo, että haavoittuvuuksien paljastaminen on nyt ilmaista. On huomattava, että RACK911 Labs on työskennellyt haavoittuvuuksien tunnistamiseksi pitkään, mutta se ei odottanut, että virustorjunta-alan kollegoiden kanssa työskentely olisi niin vaikeaa, koska päivitysten julkaisu viivästyy ja tietoturvan kiireellisen korjaustarpeen huomiotta jättäminen ongelmia.
Tuotteet, joita tämä koskee (ilmaista virustorjuntapakettia ClamAV ei ole luettelossa):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset-tiedostopalvelimen suojaus
- F-Secure Linux-tietoturva
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus Linuxille
- Windows
- Ilmainen Avast-virustorjunta
- Avira ilmainen virustorjunta
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure-tietokoneiden suojaus
- FireEye Endpoint Security
- Sieppaus X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes Windowsille
- McAfee Endpoint Security
- Panda-kupoli
- Webroot suojattu missä tahansa
- macOS
- AVG
- BitDefender Total Security
- Eset-tietoturva
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot suojattu missä tahansa
Lähde: opennet.ru