Vísindamenn frá RACK911 Labs að næstum allir vírusvarnarpakkar fyrir Windows, Linux og macOS væru viðkvæmir fyrir árásum sem stjórnuðu keppnisskilyrðum við eyðingu skráa þar sem spilliforrit fannst.
Til að framkvæma árás þarftu að hlaða upp skrá sem vírusvörnin viðurkennir sem illgjarn (til dæmis geturðu notað prófundirskrift) og eftir ákveðinn tíma, eftir að vírusvörnin finnur skaðlega skrána, en strax áður en þú hringir í aðgerðina til að eyða henni skaltu skipta út möppunni fyrir skrána með táknrænum hlekk. Í Windows, til að ná sömu áhrifum, er skráaskipting framkvæmd með því að nota möppumót. Vandamálið er að næstum allir vírusvarnir athuguðu ekki almennilega táknræna hlekki og, í þeirri trú að þeir væru að eyða illgjarnri skrá, eyddu skránni í möppunni sem táknræni hlekkurinn vísar á.
Í Linux og macOS er sýnt hvernig á þennan hátt getur forréttindalaus notandi eytt /etc/passwd eða hvaða kerfisskrá sem er, og í Windows DDL bókasafni vírusvarnarsins sjálfs til að loka fyrir vinnu þess (í Windows takmarkast árásin aðeins við að eyða skrár sem ekki eru notaðar af öðrum forritum eins og er). Til dæmis getur árásarmaður búið til „nýttu“ möppu og hlaðið EpSecApiLib.dll skránni með prófunarvírusundirskrift inn í hana, og síðan skipt út „nýttu“ möppunni fyrir hlekkinn „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" áður en því er eytt Platform", sem mun leiða til þess að EpSecApiLib.dll bókasafnið er fjarlægt úr vírusvarnarskránni. Í Linux og Macos er hægt að gera svipað bragð með því að skipta út möppunni fyrir "/etc" hlekkinn.
# / Bin / SH
rm -rf /heimili/notandi/nýting ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
á meðan inotifywait -m “/home/user/exploit/passwd” | grep -m 5 „OPEN“
do
rm -rf /heimili/notandi/nýting ; ln -s /etc /home/user/exploit
gert
Þar að auki reyndust margir vírusvarnir fyrir Linux og macOS nota fyrirsjáanleg skráarheiti þegar unnið er með tímabundnar skrár í /tmp og /private/tmp möppunni, sem hægt var að nota til að auka réttindi til rótnotandans.
Nú þegar hafa vandamálin verið lagfærð af flestum birgjum, en það er athyglisvert að fyrstu tilkynningar um vandamálið voru sendar til framleiðenda haustið 2018. Þrátt fyrir að ekki allir söluaðilar hafi gefið út uppfærslur hafa þeir fengið að minnsta kosti 6 mánuði til að laga og RACK911 Labs telur að það sé nú frjálst að upplýsa um veikleikana. Það er tekið fram að RACK911 Labs hefur unnið að því að greina veikleika í langan tíma, en það bjóst ekki við að það yrði svo erfitt að vinna með samstarfsmönnum úr vírusvarnariðnaðinum vegna tafa á útgáfu uppfærslum og hunsa þörfina á að laga öryggið í skyndi. vandamál.
Vörur sem verða fyrir áhrifum (ókeypis vírusvarnarpakkinn ClamAV er ekki á listanum):
- Linux
- BitDefender GravityZone
- Comodo endapunktaöryggi
- Eset öryggis skráarþjóns
- F-Secure Linux öryggi
- Kaspersy endapunktaöryggi
- McAfee endapunktaöryggi
- Sophos andvírus fyrir Linux
- Windows
- Avast Ókeypis vírusvörn
- Avira Ókeypis vírusvörn
- BitDefender GravityZone
- Comodo endapunktaöryggi
- F-Secure tölvuvernd
- FireEye endapunktaöryggi
- Hlerun X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes fyrir Windows
- McAfee endapunktaöryggi
- Panda hvelfing
- Webroot Öruggt hvar sem er
- MacOS
- AVG
- BitDefender Heildaröryggi
- Eset netöryggi
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Öruggt hvar sem er
Heimild: opennet.ru