Chèchè nan RACK911 Labs ke prèske tout pakè antivirus pou Windows, Linux ak macOS yo te vilnerab a atak ki manipile kondisyon ras yo pandan efase dosye kote yo te detekte malveyan.
Pou fè yon atak, ou bezwen telechaje yon fichye ke antivirus la rekonèt kòm move (pa egzanp, ou ka itilize yon siyati tès), epi apre yon sèten tan, apre antivirus la detekte fichye move a, men imedyatman anvan ou rele fonksyon an. pou efase li, ranplase anyè a ak dosye a ak yon lyen senbolik. Sou Windows, pou reyalize menm efè a, sibstitisyon anyè fèt lè l sèvi avèk yon junction anyè. Pwoblèm nan se ke prèske tout antivirus pa t 'byen tcheke lyen senbolik epi, kwè ke yo te efase yon fichye move, efase fichye a nan anyè a ki montre lyen senbolik la.
Nan Linux ak macOS yo montre kouman nan fason sa a yon itilizatè san privilèj ka efase /etc/passwd oswa nenpòt lòt dosye sistèm, ak nan Windows bibliyotèk la DDL nan antivirus nan tèt li bloke travay li (nan Windows atak la limite sèlman nan efase dosye ki pa itilize kounye a pa lòt aplikasyon). Pa egzanp, yon atakè ka kreye yon anyè "exploit" epi telechaje fichye EpSecApiLib.dll ak yon siyati viris tès ladan l, epi ranplase anyè "exploit" la ak lyen "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" anvan efase li Platfòm", ki pral mennen nan retire bibliyotèk la EpSecApiLib.dll nan katalòg la antivirus. Nan Linux ak macos, yon trick menm jan an ka fè lè w ranplase anyè a ak lyen "/etc".
#! / Bin / è
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
pandan inotifywait -m "/home/itilizatè/exploit/passwd" | grep -m 5 "OUVRI"
do
rm -rf /home/user/exploit ; Ln -s /etc /home/user/exploit
fè
Anplis, anpil antivirus pou Linux ak macOS yo te jwenn yo sèvi ak non dosye previzib lè w ap travay ak fichye tanporè nan /tmp ak /private/tmp anyè, ki ta ka itilize pou ogmante privilèj itilizatè rasin lan.
Depi kounye a, pifò founisè yo te deja rezoud pwoblèm yo, men li enpòtan pou remake premye notifikasyon yo sou pwoblèm nan te voye bay manifaktirè yo nan sezon otòn 2018 la. Malgre ke se pa tout machann ki te pibliye mizajou, yo te ba yo omwen 6 mwa patch, e RACK911 Labs kwè kounye a li gratis pou divilge frajilite yo. Li te note ke RACK911 Labs te travay sou idantifye frajilite pou yon tan long, men li pa t 'atann ke li ta tèlman difisil yo travay ak kòlèg nan endistri a antivirus akòz reta nan divilge mizajou ak inyore bezwen an ijan ranje sekirite. pwoblèm.
Pwodwi ki afekte yo (pakè antivirus gratis ClamAV pa nan lis la):
- Linux
- BitDefender GravityZone
- Komodo pwen Sekirite Sosyal
- Eset File sèvè Sekirite Sosyal
- F-Tache Linux Sekirite Sosyal
- Kaspersy Endpoint Sekirite Sosyal
- McAfee Sekirite final
- Sophos Anti-Viris pou Linux
- Windows
- Avast gratis anti-viris
- Avira gratis anti-viris
- BitDefender GravityZone
- Komodo pwen Sekirite Sosyal
- F-Tache Pwoteksyon Odinatè
- FireEye pwen sekirite
- Entèsepte X (Sophos)
- Kaspersky Endpoint Sekirite Sosyal
- Malwarebytes pou Windows
- McAfee Sekirite final
- Panda bòl
- Webroot Tache Nenpòt kote
- MacOS
- Moyen
- BitDefender Total Sekirite Sosyal
- Eset Sekirite Sosyal
- Kaspèrski entènèt Sekirite
- McAfee Total Pwoteksyon
- Microsoft Defansè (BETA)
- Norton Sekirite Sosyal
- Sophos Kay
- Webroot Tache Nenpòt kote
Sous: opennet.ru