Chercheurs des laboratoires RACK911 que presque tous les packages antivirus pour Windows, Linux et macOS étaient vulnérables aux attaques manipulant les conditions de concurrence lors de la suppression de fichiers dans lesquels des logiciels malveillants étaient détectés.
Pour mener une attaque, vous devez télécharger un fichier que l'antivirus reconnaît comme malveillant (par exemple, vous pouvez utiliser une signature de test), et après un certain temps, après que l'antivirus a détecté le fichier malveillant, mais juste avant d'appeler la fonction pour le supprimer, remplacez le répertoire par le fichier avec un lien symbolique. Sous Windows, pour obtenir le même effet, la substitution de répertoire est effectuée à l'aide d'une jonction de répertoire. Le problème est que presque tous les antivirus n'ont pas correctement vérifié les liens symboliques et, croyant supprimer un fichier malveillant, ont supprimé le fichier dans le répertoire vers lequel pointe le lien symbolique.
Sous Linux et macOS, il est montré comment un utilisateur non privilégié peut ainsi supprimer /etc/passwd ou tout autre fichier système, et sous Windows la bibliothèque DDL de l'antivirus lui-même pour bloquer son travail (sous Windows, l'attaque se limite uniquement à la suppression fichiers qui ne sont pas actuellement utilisés par d'autres applications). Par exemple, un attaquant peut créer un répertoire « exploit » et y télécharger le fichier EpSecApiLib.dll avec une signature de virus de test, puis remplacer le répertoire « exploit » par le lien « C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security » avant de supprimer la Plateforme », ce qui entraînera la suppression de la bibliothèque EpSecApiLib.dll du catalogue antivirus. Sous Linux et Macos, une astuce similaire peut être réalisée en remplaçant le répertoire par le lien « /etc ».
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m « /home/user/exploit/passwd » | grep -m 5 "OUVERT"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
fait
De plus, de nombreux antivirus pour Linux et macOS utilisaient des noms de fichiers prévisibles lorsqu'ils travaillaient avec des fichiers temporaires dans les répertoires /tmp et /private/tmp, qui pouvaient être utilisés pour élever les privilèges vers l'utilisateur root.
À l'heure actuelle, les problèmes ont déjà été résolus par la plupart des fournisseurs, mais il convient de noter que les premières notifications concernant le problème ont été envoyées aux fabricants à l'automne 2018. Bien que tous les fournisseurs n'aient pas publié de mises à jour, ils ont eu au moins 6 mois pour les corriger, et RACK911 Labs estime qu'il est désormais libre de divulguer les vulnérabilités. Il est à noter que RACK911 Labs travaille depuis longtemps à l'identification des vulnérabilités, mais il ne s'attendait pas à ce qu'il soit si difficile de travailler avec des collègues de l'industrie antivirus en raison des retards dans la publication des mises à jour et de l'ignorance de la nécessité de corriger de toute urgence la sécurité. problèmes.
Produits concernés (le package antivirus gratuit ClamAV n'est pas répertorié) :
- Linux/Unix
- BitDefender Gravity Zone
- Sécurité des terminaux Comodo
- Sécurité du serveur de fichiers Eset
- Sécurité F-Secure Linux
- Sécurité des terminaux Kaspersy
- Sécurité des terminaux McAfee
- Sophos Anti-Virus pour Linux
- Windows
- Avast Antivirus Gratuit
- Avira Free Antivirus
- BitDefender Gravity Zone
- Sécurité des terminaux Comodo
- Protection de l'ordinateur F-Secure
- Sécurité des terminaux FireEye
- Intercepter X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes pour Windows
- Sécurité des terminaux McAfee
- Dôme de panda
- Webroot Secure Anywhere
- macOS
- AVG
- BitDefender Total Security
- Cybersécurité Eset
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BÊTA)
- Norton
- Sophos Accueil
- Webroot Secure Anywhere
Source: opennet.ru