Undersikers fan RACK911 Labs dat hast alle antyviruspakketten foar Windows, Linux en macOS kwetsber wiene foar oanfallen dy't racebetingsten manipulearje tidens it wiskjen fan bestannen wêryn malware waard ûntdutsen.
Om in oanfal út te fieren, moatte jo in bestân uploade dat it antyfirus as kwea-aardich herkent (jo kinne bygelyks in test-hântekening brûke), en nei in bepaalde tiid, nei't it antyvirus it kwea-aardige bestân ûntdekt, mar direkt foardat jo de funksje oproppe om it te wiskjen, ferfange de map mei it bestân mei in symboalyske keppeling. Op Windows, om itselde effekt te berikken, wurdt mapferfanging útfierd mei in mapknooppunt. It probleem is dat hast alle anty-firus symboalyske keppelings net goed kontrolearren en, yn 't leauwen dat se in kwea-aardich bestân wiskje, it bestân wiske yn' e map wêr't de symboalyske keppeling nei wiist.
Yn Linux en macOS wurdt it toand hoe't op dizze manier in net-befoarrjochte brûker /etc/passwd of in oar systeembestân kin wiskje, en yn Windows de DDL-bibleteek fan it antyvirus sels om syn wurk te blokkearjen (yn Windows is de oanfal allinich beheind ta wiskjen bestannen dy't op it stuit net wurde brûkt troch oare applikaasjes). Bygelyks, in oanfaller kin in map "exploitearje" oanmeitsje en it EpSecApiLib.dll-bestân mei in testfirus-hântekening deryn uploade, en dan de map "exploitearje" ferfange troch de keppeling "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" foardat jo it Platform wiskje", wat sil liede ta it fuortheljen fan 'e EpSecApiLib.dll-bibleteek út' e antyviruskatalogus. Yn Linux en Macos kin in ferlykbere trúk dien wurde troch de map te ferfangen mei de "/etc" keppeling.
#! / bin / sh
rm -rf /home/user/exploit; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
wylst inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
klear
Boppedat waarden in protte antyvirusprogramma's foar Linux en macOS fûn om foarsisbere bestânsnammen te brûken by it wurkjen mei tydlike bestannen yn 'e /tmp- en /private/tmp-mappen, dy't koe wurde brûkt om privileezjes te eskalearjen nei de root-brûker.
Tsjintwurdich binne de problemen al fêst troch de measte leveransiers, mar it is opmerklik dat de earste notifikaasjes oer it probleem yn 'e hjerst fan 2018 nei fabrikanten stjoerd binne. Hoewol net alle leveransiers updates hawwe útbrocht, hawwe se op syn minst 6 moannen krigen om te patchjen, en RACK911 Labs is fan betinken dat it no fergees is om de kwetsberens te iepenbierjen. It wurdt opmurken dat RACK911 Labs hat wurke oan it identifisearjen fan kwetsberens foar in lange tiid, mar it hat net ferwachte dat it soe wêze sa lestich om te wurkjen mei kollega's út de antyvirus yndustry fanwege fertraging by it frijjaan fan updates en negearje de needsaak om driuwend reparearje feiligens problemen.
Oantroffen produkten (it fergese antiviruspakket ClamAV is net fermeld):
- linux
- BitDefender GravityZone
- Comodo Endpoint Feiligens
- Eset File Server Feiligens
- F-Secure Linux Feiligens
- Kaspersy Einpuntfeiligens
- McAfee Endpoint Security
- Sophos Anti-Virus foar Linux
- Windows
- Avast fergees anty-firus
- Avira Free Anti-Firus
- BitDefender GravityZone
- Comodo Endpoint Feiligens
- F-Secure kompjûterbeskerming
- FireEye Endpoint Security
- InterceptX (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes foar Windows
- McAfee Endpoint Security
- Panda koepel
- Webroot Feilich oeral
- MacOS
- AVG
- BitDefender Totale befeiliging
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Feilich oeral
Boarne: opennet.ru