A RACK911 Labs kutatói
A támadás végrehajtásához fel kell töltenie egy fájlt, amelyet a vírusirtó rosszindulatúként ismer fel (például használhat tesztaláírást), majd egy bizonyos idő elteltével, miután a víruskereső észlelte a rosszindulatú fájlt, de közvetlenül a funkció meghívása előtt törléséhez cserélje ki a könyvtárat a szimbolikus hivatkozással ellátott fájlra. A Windows rendszeren ugyanezen hatás elérése érdekében a könyvtárak helyettesítése egy címtárcsatolás segítségével történik. A probléma az, hogy szinte minden vírusirtó nem ellenőrizte megfelelően a szimbolikus hivatkozásokat, és mivel azt hitték, hogy rosszindulatú fájlt törölnek, törölték a fájlt abban a könyvtárban, amelyre a szimbolikus hivatkozás mutat.
Linuxban és macOS-ben azt mutatják be, hogy ily módon egy privilegizálatlan felhasználó hogyan tudja törölni az /etc/passwd-t vagy bármely más rendszerfájlt, Windows-ban pedig magát a víruskereső DDL-könyvtárát, hogy blokkolja a működését (Windows-ban a támadás csak a törlésre korlátozódik fájlokat, amelyeket jelenleg nem használnak más alkalmazások). Például egy támadó létrehozhat egy „exploit” könyvtárat, és feltöltheti abba az EpSecApiLib.dll fájlt egy tesztvírus-szignatúrával, majd az „exploit” könyvtárat a „C:\Program Files (x86)\McAfee\” hivatkozásra cserélheti. Endpoint Security\Endpoint Security”, mielőtt törölné azt Platform”, ami az EpSecApiLib.dll könyvtár eltávolításához vezet a víruskereső katalógusból. Linuxban és macos rendszerben hasonló trükköt hajthatunk végre, ha a könyvtárat a „/etc” hivatkozásra cseréljük.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
miközben inotifywait -m “/home/user/exploit/passwd” | grep -m 5 „NYITVA”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
csinált
Ezenkívül számos Linux és macOS víruskereső program kiszámítható fájlneveket használ, amikor a /tmp és /private/tmp könyvtárban lévő ideiglenes fájlokkal dolgozik, amelyek felhasználhatók a root felhasználó jogosultságainak kiterjesztésére.
Mára a problémákat a legtöbb beszállító már kijavította, de figyelemre méltó, hogy a problémáról az első értesítéseket 2018 őszén küldték el a gyártóknak. Bár nem minden gyártó adott ki frissítéseket, legalább 6 hónapot kaptak a javításra, és a RACK911 Labs úgy véli, hogy most már szabadon felfedheti a biztonsági réseket. Megjegyzendő, hogy a RACK911 Labs már régóta dolgozik a sebezhetőségek azonosításán, de nem számított arra, hogy a víruskereső iparban dolgozó kollégákkal ilyen nehéz lesz együtt dolgozni a frissítések kiadásának késése és a biztonsági sürgős javítások figyelmen kívül hagyása miatt. problémákat.
Érintett termékek (a ClamAV ingyenes víruskereső csomag nem szerepel a listán):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- ESET File Server Security
- F-Secure Linux Security
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus Linuxhoz
- Windows
- Ingyenes Avast vírusirtó
- Avira ingyenes víruskereső
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure számítógépes védelem
- FireEye Endpoint Security
- X intercept (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- McAfee Endpoint Security
- Panda kupola
- Webroot Secure Anywhere
- MacOS
- AVG
- BitDefender teljes biztonság
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (Béta)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Forrás: opennet.ru