RACK911 зертханасының зерттеушілері Windows, Linux және macOS жүйесіне арналған барлық дерлік антивирус пакеттері зиянды бағдарлама анықталған файлдарды жою кезінде жарыс жағдайларын басқаратын шабуылдарға осал болды.
Шабуыл жасау үшін антивирус зиянды деп танитын файлды жүктеп салу керек (мысалы, сынақ қолтаңбасын пайдалануға болады) және белгілі бір уақыттан кейін антивирус зиянды файлды анықтағаннан кейін, бірақ функцияны шақырмас бұрын бірден. оны жою үшін каталогты символдық сілтемесі бар файлмен ауыстырыңыз. Windows жүйесінде бірдей нәтижеге қол жеткізу үшін каталогты ауыстыру каталогтар қосылысы арқылы орындалады. Мәселе мынада, антивирустардың барлығы дерлік символдық сілтемелерді дұрыс тексермеген және олар зиянды файлды жойып жатыр деп сеніп, символдық сілтеме көрсететін каталогтағы файлды жойған.
Linux және macOS жүйелерінде осылайша артықшылығы жоқ пайдаланушының /etc/passwd немесе кез келген басқа жүйелік файлды, ал Windows жүйесінде антивирустың DDL кітапханасын оның жұмысын блоктау үшін қалай жоя алатыны көрсетілген (Windows жүйесінде шабуыл тек жоюмен ғана шектелген) басқа қолданбалар қазір пайдаланбайтын файлдар). Мысалы, шабуылдаушы «эксплоит» каталогын жасай алады және оған сынақ вирус қолтаңбасы бар EpSecApiLib.dll файлын жүктей алады, содан кейін «эксплоит» каталогын «C:\Program Files (x86)\McAfee\ сілтемесімен ауыстыра алады. Endpoint Security\Endpoint Security» оны жою алдында Platform», бұл EpSecApiLib.dll кітапханасының антивирус каталогынан жойылуына әкеледі. Linux және macos жүйелерінде каталогты «/etc» сілтемесімен ауыстыру арқылы ұқсас трюкті жасауға болады.
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 «АШЫҚ»
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
Дайын
Сонымен қатар, Linux және macOS жүйесіне арналған көптеген антивирустар /tmp және /private/tmp каталогындағы уақытша файлдармен жұмыс істеу кезінде болжалды файл атауларын пайдаланатыны анықталды, оларды түбірлік пайдаланушыға артықшылықтарды арттыру үшін пайдалануға болады.
Осы уақытқа дейін проблемаларды жеткізушілердің көпшілігі шешіп қойған, бірақ мәселе туралы алғашқы хабарламалар өндірушілерге 2018 жылдың күзінде жіберілгені қызық. Барлық жеткізушілер жаңартуларды шығармаса да, оларға түзетуге кемінде 6 ай уақыт берілді және RACK911 Labs енді осалдықтарды ашу тегін деп санайды. RACK911 Labs ұзақ уақыт бойы осалдықтарды анықтаумен жұмыс істеп жатқаны атап өтілді, бірақ жаңартуларды шығарудың кешігуіне және қауіпсіздікті тез арада түзету қажеттілігін елемеуге байланысты антивирустық индустриядағы әріптестермен жұмыс істеу соншалықты қиын болады деп күтпеген. проблемалар.
Зардап шеккен өнімдер (ClamAV тегін антивирус пакеті тізімде жоқ):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset файлдық серверінің қауіпсіздігі
- F-Secure Linux қауіпсіздігі
- Kaspersy Endpoint Security
- McAfee Endpoint қауіпсіздігі
- Linux үшін Sophos антивирусы
- Windows
- Avast тегін антивирус
- Avira тегін антивирусы
- BitDefender GravityZone
- Comodo Endpoint Security
- F-қауіпсіз компьютерлік қорғаныс
- FireEye Endpoint қауіпсіздігі
- Intercept X (Софос)
- Kaspersky Endpoint Security
- Windows үшін зиянды бағдарламалар
- McAfee Endpoint қауіпсіздігі
- Панда күмбезі
- Webroot кез келген жерде қауіпсіз
- MacOS
- AVG
- BitDefender жалпы қауіпсіздігі
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos үйі
- Webroot кез келген жерде қауіпсіз
Ақпарат көзі: opennet.ru