Ricercatori dei laboratori RACK911 che quasi tutti i pacchetti antivirus per Windows, Linux e macOS erano vulnerabili agli attacchi che manipolavano le condizioni di competizione durante l'eliminazione di file in cui veniva rilevato malware.
Per effettuare un attacco è necessario caricare un file che l'antivirus riconosce come dannoso (ad esempio è possibile utilizzare una firma di prova) e dopo un certo tempo, dopo che l'antivirus ha rilevato il file dannoso, ma immediatamente prima di richiamare la funzione per eliminarlo sostituire la directory con il file con collegamento simbolico. Su Windows, per ottenere lo stesso effetto, la sostituzione delle directory viene eseguita utilizzando una giunzione di directory. Il problema è che quasi tutti gli antivirus non hanno controllato adeguatamente i collegamenti simbolici e, credendo di eliminare un file dannoso, hanno eliminato il file nella directory a cui punta il collegamento simbolico.
In Linux e macOS viene mostrato come in questo modo un utente non privilegiato possa eliminare /etc/passwd o qualsiasi altro file di sistema, e in Windows la libreria DDL dell'antivirus stesso per bloccarne il funzionamento (in Windows l'attacco si limita solo all'eliminazione file che non sono attualmente utilizzati da altre applicazioni). Ad esempio, un utente malintenzionato può creare una directory "exploit" e caricare al suo interno il file EpSecApiLib.dll con una firma del virus di prova, quindi sostituire la directory "exploit" con il collegamento "C:\Programmi (x86)\McAfee\ Endpoint Security\Endpoint Security” prima di eliminare la Piattaforma", che comporterà la rimozione della libreria EpSecApiLib.dll dal catalogo antivirus. In Linux e macos, è possibile eseguire un trucco simile sostituendo la directory con il collegamento “/etc”.
# / Bin / sh
rm -rf /home/utente/exploit ; mkdir /home/utente/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/utente/exploit/passwd” | grep -m 5 “APERTO”
do
rm -rf /home/utente/exploit ; ln -s /etc /home/utente/exploit
fatto
Inoltre, è stato scoperto che molti antivirus per Linux e macOS utilizzano nomi di file prevedibili quando lavorano con file temporanei nelle directory /tmp e /private/tmp, che potrebbero essere utilizzati per aumentare i privilegi all'utente root.
Ormai la maggior parte dei fornitori ha già risolto i problemi, ma è interessante notare che le prime notifiche del problema sono state inviate ai produttori nell'autunno del 2018. Sebbene non tutti i fornitori abbiano rilasciato aggiornamenti, sono stati concessi almeno 6 mesi per applicare le patch e RACK911 Labs ritiene che ora sia libero di rivelare le vulnerabilità. Va notato che RACK911 Labs ha lavorato a lungo per identificare le vulnerabilità, ma non si aspettava che sarebbe stato così difficile lavorare con i colleghi del settore antivirus a causa dei ritardi nel rilascio degli aggiornamenti e dell'ignoranza della necessità di correggere urgentemente la sicurezza i problemi.
Prodotti interessati (il pacchetto antivirus gratuito ClamAV non è elencato):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Imposta la sicurezza del file server
- Sicurezza Linux F-Secure
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus per Linux
- Windows
- Avast Antivirus gratuito
- Avira Antivirus gratis
- BitDefender GravityZone
- Comodo Endpoint Security
- Protezione del computer F-Secure
- Sicurezza degli endpoint FireEye
- Intercetta X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes per Windows
- McAfee Endpoint Security
- Cupola Panda
- Webroot sicuro ovunque
- macOS
- AVG
- Sicurezza totale BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot sicuro ovunque
Fonte: opennet.ru