પ્રોહોસ્ટર > Блог > ઇન્ટરનેટ સમાચાર > મોટાભાગના એન્ટિવાયરસ પર પ્રતીકાત્મક લિંક્સ દ્વારા હુમલો કરવામાં આવ્યો હતો

મોટાભાગના એન્ટિવાયરસ પર પ્રતીકાત્મક લિંક્સ દ્વારા હુમલો કરવામાં આવ્યો હતો

Исследователи из компании RACK911 Labs નોંધ્યું на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО.

Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, почти все антивирусы должным образом не выполняли проверку символических ссылок и, считая что удаляют вредоносный файл, удаляли файл в каталоге на который указывает символическая ссылка.

В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл, а в Windows DDL-библиотеку самого антивируса для блокирования его работы (в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями). Например, атакующий может создать каталог «exploit» и загрузить в него файл EpSecApiLib.dll с тестовой сигнатурой вируса, после чего перед удалением заменить каталог «exploit» на ссылку «C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform», что приведёт к удалению библиотеки EpSecApiLib.dll из каталога антивируса. В Linux и macos аналогичный приём можно проделать с подменой каталога на ссылку «/etc».

#! / બિન / શ
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
કર્યું



Более того, во многих антивирусах для Linux и macOS было выявлено использование предсказуемых имён файлов при работе с временным файлами в каталоге /tmp и /private/tmp, что могло использоваться для повышения привилегий до пользователя root.

К настоящему времени проблемы уже устранены большинством поставщиков, но примечательно, что первые уведомления о проблеме были направлены производителям ещё осенью 2018 года. Несмотря на то, что не все производители выпустили обновления, им было дано на исправление как минимум 6 месяцев, и RACK911 Labs считает, что теперь вправе раскрыть сведения об уязвимостях. Отмечается, что компания RACK911 Labs давно занимается работой по выявлению уязвимостей, но она не предполагала, что с коллегами из антивирусной индустрии будет так трудно работать из-за затягивания выпуска обновлений и игнорирования необходимости срочного устранения проблем с безопасностью.

Продукты, подверженные проблеме (свободный антивирусный пакет ClamAV в списке отсутствует):

  • Linux
    • બિટડેફેન્ડર ગ્રેવીટીઝોન
    • કોમોડો એન્ડપોઇન્ટ સુરક્ષા
    • એસેટ ફાઇલ સર્વર સુરક્ષા
    • એફ-સુરક્ષિત લિનક્સ સુરક્ષા
    • કેસ્પર્સી એન્ડપોઇન્ટ સુરક્ષા
    • મેકએફી એન્ડપોઇન્ટ સુરક્ષા
    • લિનક્સ માટે સોફોસ એન્ટી વાયરસ
  • વિન્ડોઝ
    • અવેસ્ટ ફ્રી એન્ટી વાઈરસ
    • અવીરા ફ્રી એન્ટી વાઈરસ
    • બિટડેફેન્ડર ગ્રેવીટીઝોન
    • કોમોડો એન્ડપોઇન્ટ સુરક્ષા
    • એફ-સુરક્ષિત કમ્પ્યુટર પ્રોટેક્શન
    • ફાયરએઇ એન્ડપોઇન્ટ સુરક્ષા
    • ઇંટરસેપ્ટ એક્સ (સોફોસ)
    • કpersસ્પરસ્કી એન્ડપોઇન્ટ સુરક્ષા
    • વિન્ડોઝ માટે માલવેરબેટ્સ
    • મેકએફી એન્ડપોઇન્ટ સુરક્ષા
    • પાંડા ડોમ
    • કોઈપણ જગ્યાએ વેબરૂટ સુરક્ષિત
  • MacOS
    • AVG
    • બિટડેફંડર કુલ સુરક્ષા
    • ઇસેટ સાયબર સિક્યુરિટી
    • કેસ્પર્સ્કી ઇન્ટરનેટ સુરક્ષા
    • મેકૅફી ટોટલ પ્રોટેક્શન
    • માઇક્રોસ Defફ્ટ ડિફેન્ડર (બીટા)
    • નોર્ટન સુરક્ષા
    • સોફોસ હોમ
    • કોઈપણ જગ્યાએ વેબરૂટ સુરક્ષિત

    સોર્સ: opennet.ru

એક ટિપ્પણી ઉમેરો