רוב האנטי-וירוסים הותקפו באמצעות קישורים סמליים

חוקרים ממעבדות RACK911 משך תשומת לב שכמעט כל חבילות האנטי-וירוס ל-Windows, Linux ו-macOS היו חשופות להתקפות המשפיעות על תנאי הגזע במהלך מחיקת קבצים שבהם זוהתה תוכנה זדונית.

כדי לבצע תקיפה צריך להעלות קובץ שהאנטי-וירוס מזהה כזדוני (למשל אפשר להשתמש בחתימת בדיקה), ולאחר זמן מסוים, אחרי שהאנטי-וירוס מזהה את הקובץ הזדוני, אבל מיד לפני הקריאה לפונקציה כדי למחוק אותו, החלף את הספרייה בקובץ עם קישור סמלי. ב-Windows, כדי להשיג את אותו אפקט, החלפת ספריות מתבצעת באמצעות צומת ספריות. הבעיה היא שכמעט כל האנטי-וירוסים לא בדקו כראוי קישורים סימבוליים, והאמינו שהם מוחקים קובץ זדוני, מחקו את הקובץ בספרייה שאליה מפנה הקישור הסמלי.

ב-Linux ו-macOS מוצג כיצד בדרך זו משתמש חסר זכויות יכול למחוק /etc/passwd או כל קובץ מערכת אחר, וב-Windows ספריית ה-DDL של האנטי וירוס עצמו כדי לחסום את עבודתו (ב-Windows ההתקפה מוגבלת רק למחיקה קבצים שאינם נמצאים בשימוש כעת על ידי יישומים אחרים). לדוגמה, תוקף יכול ליצור ספריית "ניצול" ולהעלות לתוכו את הקובץ EpSecApiLib.dll עם חתימת וירוס בדיקה, ולאחר מכן להחליף את ספריית "נצל" בקישור "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" לפני מחיקתו Platform", מה שיוביל להסרה של ספריית EpSecApiLib.dll מקטלוג האנטי-וירוס. בלינוקס וב-macos, ניתן לעשות טריק דומה על ידי החלפת הספרייה בקישור "/etc".

# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
בעוד inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
עשה

יתרה מכך, נמצא כי אנטי-וירוסים רבים עבור Linux ו-macOS משתמשים בשמות קבצים צפויים בעת עבודה עם קבצים זמניים בספריית /tmp ו-/private/tmp, אשר ניתן להשתמש בהם כדי להעלות הרשאות למשתמש השורש.

בשלב זה, הבעיות כבר תוקנו על ידי רוב הספקים, אך ראוי לציין כי ההודעות הראשונות על הבעיה נשלחו ליצרנים בסתיו 2018. למרות שלא כל הספקים פרסמו עדכונים, הם קיבלו לפחות 6 חודשים לתיקון, ו-RACK911 Labs מאמינה שכעת היא חופשית לחשוף את הפגיעויות. יצוין כי RACK911 Labs עובדת על זיהוי נקודות תורפה מזה זמן רב, אך היא לא ציפתה שיהיה כל כך קשה לעבוד עם עמיתים מתעשיית האנטי וירוס עקב עיכובים בשחרור עדכונים והתעלמות מהצורך בתיקון אבטחה דחוף בעיות.

מוצרים מושפעים (חבילת האנטי-וירוס החינמית ClamAV אינה מופיעה ברשימה):

• לינוקס
  • BitDefender GravityZone
  • קומודו אבטחת קצה
  • אבטחת שרת הקבצים Eset
  • אבטחת לינוקס F-Secure
  • אבטחת נקודות קצה של קספרסי
  • McAfee Endpoint Security
  • Sophos Anti-Virus ל- Linux
• Windows
  • אנטי וירוס בחינם Avast
  • אנטי-וירוס חינם של Avira
  • BitDefender GravityZone
  • קומודו אבטחת קצה
  • הגנת F-Secure Computer
  • אבטחת נקודות קצה של FireEye
  • יירט X (סופוס)
  • אבטחת נקודות קצה של קספרסקי
  • Malwarebytes עבור Windows
  • McAfee Endpoint Security
  • כיפת פנדה
  • Webroot מאובטח בכל מקום
• MacOS
  • AVG
  • ביטחון מוחלט של BitDefender
  • אסט אבטחת סייבר
  • קספרסקי אינטרנט סקיוריטי
  • הגנה מקיפה של McAfee
  • Microsoft Defender (ביטא)
  • נורטון
  • סופוס
  • Webroot מאובטח בכל מקום

  מקור: OpenNet.ru