Taighdeoirí ó RACK911 Labs go raibh beagnach gach pacáiste frithvíreas do Windows, Linux agus macOS i mbaol ionsaithe ag ionramháil coinníollacha cine le linn comhaid a scriosadh inar aimsíodh malware.
Chun ionsaí a dhéanamh, ní mór duit comhad a aithníonn an antivirus a uaslódáil mar mhailíseach (mar shampla, is féidir leat síniú tástála a úsáid), agus tar éis am áirithe, tar éis don antivirus an comhad mailíseach a bhrath, ach díreach roimh ghlaoch ar an bhfeidhm chun é a scriosadh, cuir nasc siombalach in ionad an eolaire leis an gcomhad. Ar Windows, chun an éifeacht chéanna a bhaint amach, déantar ionadú eolaire ag baint úsáide as acomhal eolaire. Is í an fhadhb atá ann ná nach ndearna beagnach gach frithvíreas seiceáil i gceart ar naisc siombalacha agus, ag creidiúint go raibh comhad mailíseach á scriosadh acu, scrios siad an comhad san eolaire a bhfuil an nasc siombalach dírithe air.
I Linux agus macOS taispeántar conas ar an mbealach seo is féidir le húsáideoir neamhphríobháideach /etc/passwd nó aon chomhad córais eile a scriosadh, agus i Windows leabharlann DDL an fhrithvíris féin chun bac a chur ar a chuid oibre (i Windows tá an t-ionsaí teoranta do scriosadh amháin comhaid nach n-úsáideann feidhmchláir daoine eile faoi láthair). Mar shampla, is féidir le hionsaitheoir eolaire “leas a bhaint as” a chruthú agus an comhad EpSecApiLib.dll a uaslódáil le síniú víreas tástála isteach ann, agus ansin an nasc “C:\Program Files (x86)\McAfee\ a chur in ionad an eolaire “leas a bhaint as”. Endpoint Security\Endpoint Security" sula scriosfar é Platform", as a dtiocfaidh deireadh le leabharlann EpSecApiLib.dll a bhaint den chatalóg frithvíreas. I Linux agus macOS, is féidir cleas den chineál céanna a dhéanamh tríd an nasc “/ etc” a chur in ionad an eolaire.
#! / Bin / sh
rm -rf / home/user/exploit; mkdir / baile / úsáideoir / leas a bhaint as /
wget -q https://www.eicar.org/download/eicar.com.txt -O/home/user/exploit/passwd
agus inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OSCAILTE”
do
rm -rf / home/user/exploit; ln -s /etc /home/user/exploit
déanta
Ina theannta sin, fuarthas go raibh go leor frithvíreas le haghaidh Linux agus macOS ag úsáid ainmneacha comhaid intuartha agus iad ag obair le comhaid shealadacha san eolaire / tmp agus / príobháideach / tmp, a d'fhéadfaí a úsáid chun pribhléidí a ardú chuig an úsáideoir fréimhe.
Faoin am seo, tá na fadhbanna socraithe ag an gcuid is mó de na soláthróirí cheana féin, ach is fiú a thabhairt faoi deara gur cuireadh na chéad fhógraí faoin bhfadhb chuig monaróirí i titim 2018. Cé nach bhfuil nuashonruithe eisithe ag gach díoltóir, tugadh 6 mhí ar a laghad dóibh le paiste, agus creideann RACK911 Labs go bhfuil sé saor in aisce anois na leochaileachtaí a nochtadh. Tugtar faoi deara go bhfuil RACK911 Labs ag obair ar leochaileachtaí a aithint ar feadh i bhfad, ach ní raibh sé ag súil go mbeadh sé chomh deacair oibriú le comhghleacaithe ón tionscal antivirus mar gheall ar mhoill maidir le nuashonruithe a scaoileadh agus neamhaird a dhéanamh ar an ngá atá le slándáil a shocrú go práinneach. fadhbanna.
Táirgí lena mbaineann (níl an pacáiste frithvíreas saor in aisce ClamAV liostaithe):
- Linux
- Crios Domhantarraingt BitDefender
- Slándáil Endpoint Comodo
- Slándáil Freastalaí Comhad Eset
- Slándáil F-Slán Linux
- Slándáil Endpoint Kaspersy
- Slándáil Endpoint McAfee
- Frithvíreas Sophos do Linux
- Windows
- Frithvíreas Saor in Aisce
- Frithvíreas Saor ó Avira
- Crios Domhantarraingt BitDefender
- Slándáil Endpoint Comodo
- Cosaint Ríomhaireachta F-Slán
- Slándáil Endpoint FireEye
- Idircheapadh X (Sophos)
- Slándáil Endpoint Kaspersky
- Malwarebytes do Windows
- Slándáil Endpoint McAfee
- Cruinneachán Panda
- Webroot Slán Áit ar bith
- MacOS
- Meánlíon
- Slándáil Iomlán BitDefender
- Cibearshlándáil Eset
- Kaspersky Internet Security
- Cosaint Iomlán McAfee
- Microsoft Defender (BETA)
- Slándáil Norton
- Baile Sophos
- Webroot Slán Áit ar bith
Foinse: oscailtenet.ru