Peneliti dari RACK911 Labs
Untuk melakukan serangan, Anda perlu mengunggah file yang dikenali antivirus sebagai berbahaya (misalnya, Anda dapat menggunakan tanda tangan pengujian), dan setelah waktu tertentu, setelah antivirus mendeteksi file berbahaya tersebut, tetapi segera sebelum memanggil fungsi tersebut untuk menghapusnya, ganti direktori dengan file dengan tautan simbolik. Di Windows, untuk mencapai efek yang sama, substitusi direktori dilakukan menggunakan persimpangan direktori. Masalahnya adalah hampir semua antivirus tidak memeriksa tautan simbolik dengan benar dan, karena yakin bahwa mereka menghapus file berbahaya, menghapus file di direktori yang ditunjuk oleh tautan simbolik tersebut.
Di Linux dan macOS ditunjukkan bagaimana dengan cara ini pengguna yang tidak memiliki hak istimewa dapat menghapus /etc/passwd atau file sistem lainnya, dan di Windows perpustakaan DDL dari antivirus itu sendiri memblokir kerjanya (di Windows serangan hanya terbatas pada penghapusan file yang saat ini tidak digunakan oleh aplikasi lain). Misalnya, penyerang dapat membuat direktori βexploitβ dan mengunggah file EpSecApiLib.dll dengan tanda tangan virus uji ke dalamnya, lalu mengganti direktori βexploitβ dengan tautan βC:\Program Files (x86)\McAfee\ Keamanan Titik Akhir\Keamanan Titik Akhirβ sebelum menghapusnya Platform", yang akan menyebabkan penghapusan perpustakaan EpSecApiLib.dll dari katalog antivirus. Di Linux dan macOS, trik serupa dapat dilakukan dengan mengganti direktori dengan link β/etcβ.
# / Bin / sh
rm -rf /home/pengguna/eksploitasi; mkdir /home/pengguna/eksploitasi/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
sementara inotifywait -m β/home/user/exploit/passwdβ | grep -m 5 βBUKAβ
do
rm -rf /home/pengguna/eksploitasi; ln -s /etc /home/user/exploit
dilakukan
Selain itu, banyak antivirus untuk Linux dan macOS ditemukan menggunakan nama file yang dapat diprediksi ketika bekerja dengan file sementara di direktori /tmp dan /private/tmp, yang dapat digunakan untuk meningkatkan hak istimewa ke pengguna root.
Saat ini, masalah tersebut telah diperbaiki oleh sebagian besar pemasok, namun perlu diperhatikan bahwa pemberitahuan pertama tentang masalah tersebut dikirimkan ke produsen pada musim gugur tahun 2018. Meskipun tidak semua vendor telah merilis pembaruan, mereka diberi waktu setidaknya 6 bulan untuk melakukan patch, dan RACK911 Labs yakin sekarang mereka bebas untuk mengungkapkan kerentanannya. Perlu dicatat bahwa RACK911 Labs telah lama berupaya mengidentifikasi kerentanan, namun mereka tidak menyangka bahwa akan sangat sulit untuk bekerja sama dengan rekan-rekan dari industri antivirus karena keterlambatan dalam merilis pembaruan dan mengabaikan kebutuhan untuk segera memperbaiki keamanan. masalah.
Produk yang terpengaruh (paket antivirus gratis ClamAV tidak terdaftar):
- Linux
- Zona Gravitasi BitDefender
- Keamanan Endpoint Comodo
- Keamanan Server File Eset
- Keamanan Linux F-Secure
- Keamanan Kaspersy Endpoint
- Keamanan Endpoint McAfee
- Sophos Anti-Virus untuk Linux
- Windows
- Avast Antivirus Gratis
- Avira Antivirus Gratis
- Zona Gravitasi BitDefender
- Keamanan Endpoint Comodo
- Perlindungan Komputer F-Secure
- Keamanan Titik Akhir FireEye
- InterceptX (Sophos)
- Keamanan Kaspersky Endpoint
- Malwarebytes untuk Windows
- Keamanan Endpoint McAfee
- Kubah Panda
- Webroot Aman Di Mana Saja
- MacOS
- AVG
- Keamanan Total BitDefender
- Eset Keamanan Cyber
- Kaspersky Internet Security
- McAfee Total Protection
- Pembela Microsoft (BETA)
- Norton Security
- Sophos Home
- Webroot Aman Di Mana Saja
Sumber: opennet.ru