Investigadores de RACK911 Labs que case todos os paquetes de antivirus para Windows, Linux e macOS eran vulnerables a ataques que manipulaban as condicións de carreira durante a eliminación de ficheiros nos que se detectaba malware.
Para levar a cabo un ataque, cómpre cargar un ficheiro que o antivirus recoñece como malicioso (por exemplo, pode usar unha sinatura de proba) e despois dun tempo determinado, despois de que o antivirus detecte o ficheiro malicioso, pero inmediatamente antes de chamar á función. para eliminalo, substitúe o directorio polo ficheiro cunha ligazón simbólica. En Windows, para conseguir o mesmo efecto, a substitución de directorios realízase mediante unha unión de directorios. O problema é que case todos os antivirus non comprobaron correctamente as ligazóns simbólicas e, ao crer que estaban a borrar un ficheiro malicioso, eliminaron o ficheiro do directorio ao que apunta a ligazón simbólica.
En Linux e macOS móstrase como deste xeito un usuario sen privilexios pode borrar /etc/passwd ou calquera outro ficheiro do sistema, e en Windows a biblioteca DDL do propio antivirus para bloquear o seu traballo (en Windows o ataque limítase só a borrar ficheiros que non son utilizados actualmente por outras aplicacións). Por exemplo, un atacante pode crear un directorio "exploit" e cargar nel o ficheiro EpSecApiLib.dll cunha sinatura de virus de proba e, a continuación, substituír o directorio "exploit" pola ligazón "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” antes de eliminalo Plataforma”, o que levará á eliminación da biblioteca EpSecApiLib.dll do catálogo de antivirus. En Linux e macos, pódese facer un truco similar substituíndo o directorio pola ligazón "/etc".
# / Bin / sh
rm -rf /home/usuario/exploit ; mkdir /home/usuario/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
mentres inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "ABRIR"
do
rm -rf /home/usuario/exploit ; ln -s /etc /home/user/exploit
feito
Ademais, descubriuse que moitos antivirus para Linux e macOS usaban nomes de ficheiro previsibles cando traballaban con ficheiros temporais no directorio /tmp e /private/tmp, que poderían usarse para aumentar os privilexios ao usuario root.
Ata agora, os problemas xa foron solucionados pola maioría dos provedores, pero é de destacar que as primeiras notificacións sobre o problema foron enviadas aos fabricantes no outono de 2018. Aínda que non todos os provedores lanzaron actualizacións, déronlles polo menos 6 meses para parchear, e RACK911 Labs cre que agora é libre para revelar as vulnerabilidades. Nótase que RACK911 Labs estivo traballando na identificación de vulnerabilidades durante moito tempo, pero non esperaba que fose tan difícil traballar con colegas da industria antivirus debido aos atrasos na publicación de actualizacións e ignorando a necesidade de corrixir con urxencia a seguridade. problemas.
Produtos afectados (o paquete antivirus gratuíto ClamAV non figura na lista):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Seguridade do servidor de ficheiros Eset
- Seguridade Linux F-Secure
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Anti-Virus Sophos para Linux
- Windows
- Antivirus gratuíto Avast
- Avira antivirus gratuíto
- BitDefender GravityZone
- Comodo Endpoint Security
- Protección informática F-Secure
- FireEye Endpoint Security
- InterceptX (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes para Windows
- McAfee Endpoint Security
- Cúpula panda
- Webroot seguro en calquera lugar
- MacOS
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- Protección total de McAfee
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot seguro en calquera lugar
Fonte: opennet.ru