Istraživači iz RACK911 Labs da su gotovo svi antivirusni paketi za Windows, Linux i macOS bili ranjivi na napade koji manipuliraju uvjetima utrke tijekom brisanja datoteka u kojima je otkriven malware.
Za izvođenje napada potrebno je uploadati datoteku koju antivirus prepoznaje kao zlonamjernu (npr. možete koristiti testni potpis), te nakon određenog vremena, nakon što antivirus detektira zlonamjernu datoteku, ali neposredno prije poziva funkcije da biste je izbrisali, zamijenite direktorij datotekom sa simboličkom vezom. U sustavu Windows, da bi se postigao isti učinak, zamjena direktorija se izvodi pomoću spajanja imenika. Problem je u tome što gotovo svi antivirusi nisu ispravno provjeravali simboličke poveznice te su, vjerujući da brišu zlonamjernu datoteku, brisali datoteku u direktoriju na koji upućuje simbolička poveznica.
U Linuxu i macOS-u prikazano je kako na taj način neprivilegirani korisnik može obrisati /etc/passwd ili bilo koju drugu sistemsku datoteku, a u Windowsima DDL biblioteku samog antivirusa blokirati njegov rad (u Windowsima napad je ograničen samo na brisanje datoteke koje trenutno ne koriste druge aplikacije). Na primjer, napadač može stvoriti direktorij "exploit" i u njega učitati datoteku EpSecApiLib.dll s potpisom testnog virusa, a zatim direktorij "exploit" zamijeniti vezom "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” prije brisanja Platforma”, što će dovesti do uklanjanja biblioteke EpSecApiLib.dll iz antivirusnog kataloga. U Linuxu i macosu, sličan trik se može izvesti zamjenom direktorija vezom “/etc”.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
dok inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OTVORENO”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
obavlja
Štoviše, otkriveno je da mnogi antivirusi za Linux i macOS koriste predvidljiva imena datoteka kada rade s privremenim datotekama u direktoriju /tmp i /private/tmp, što se može koristiti za eskalaciju privilegija root korisniku.
Do sada je probleme većina dobavljača već otklonila, no zanimljivo je da su prve obavijesti o problemu proizvođačima poslane u jesen 2018. Iako nisu svi proizvođači objavili ažuriranja, dano im je najmanje 6 mjeseci da se poprave, a RACK911 Labs vjeruje da je sada slobodno otkriti ranjivosti. Napominje se da RACK911 Labs već duže vrijeme radi na identificiranju ranjivosti, ali nije očekivao da će biti toliko teško surađivati s kolegama iz antivirusne industrije zbog kašnjenja u izdavanju ažuriranja i ignoriranja potrebe za hitnim sigurnosnim popravkom. problema.
Pogođeni proizvodi (besplatni antivirusni paket ClamAV nije naveden):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset Sigurnost poslužitelja datoteka
- F-sigurna Linux sigurnost
- Kaspersy Endpoint Security
- Sigurnost tvrtke McAfee Endpoint
- Sophos Anti-Virus za Linux
- Windows
- Besplatni antivirusni program Avast
- Besplatni antivirusni program Avira
- BitDefender GravityZone
- Comodo Endpoint Security
- F-sigurna zaštita računala
- FireEye Endpoint Security
- Presretanje X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes za Windows
- Sigurnost tvrtke McAfee Endpoint
- Panda kupola
- Webroot siguran bilo gdje
- macOS
- AVG
- BitDefender ukupna sigurnost
- Eset cyber sigurnost
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophosov dom
- Webroot siguran bilo gdje
Izvor: opennet.ru