Fuerscher aus RACK911 Labs datt bal all Antivirus Packagen fir Windows, Linux a macOS vulnerabel waren fir Attacken, déi d'Coursebedéngungen manipuléieren wärend der Läschung vu Dateien an deenen Malware entdeckt gouf.
Fir en Attack auszeféieren, musst Dir eng Datei eroplueden, déi den Antivirus als béiswëlleg erkennt (zum Beispill, Dir kënnt eng Test Ënnerschrëft benotzen), an no enger gewësser Zäit, nodeems den Antivirus déi béiswëlleg Datei erkennt, awer direkt ier Dir d'Funktioun urufft fir et ze läschen, ersetzt de Verzeichnis mat der Datei mat engem symbolesche Link. Op Windows, fir deeselwechten Effekt z'erreechen, gëtt d'Verzeechnessubstitutioun mat engem Verzeichnisverbindung duerchgefouert. De Problem ass datt bal all Antivirus symbolesch Linken net richteg kontrolléiert hunn an ze gleewen datt se eng béiswëlleg Datei geläscht hunn, d'Datei am Verzeichnis geläscht, op deen de symbolesche Link weist.
A Linux a MacOS gëtt gewisen wéi op dës Manéier en onprivilegéierte Benotzer /etc/passwd oder all aner Systemdatei läschen kann, an a Windows d'DDL Bibliothéik vum Antivirus selwer fir seng Aarbecht ze blockéieren (a Windows ass den Attack nëmme limitéiert fir ze läschen Dateien déi de Moment net vun aneren Uwendungen benotzt ginn). Zum Beispill kann en Ugräifer en "Exploit" Verzeichnis erstellen an d'EpSecApiLib.dll Datei mat enger Testvirus Ënnerschrëft eroplueden, an dann den "Exploit" Verzeechnes ersetzen mam Link "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" ier se Plattform läschen", wat zu der Entfernung vun der EpSecApiLib.dll Bibliothéik aus dem Antivirus Katalog féiert. A Linux a Macos kann en ähnlechen Trick gemaach ginn andeems Dir de Verzeechnes mam "/etc" Link ersetzt.
#! / bin / sh
rm -rf /home/user/exploit; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
während inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
gemaach
Ausserdeem goufe vill Antivirusen fir Linux a MacOS fonnt fir prévisibel Dateinumm ze benotzen wann Dir mat temporäre Dateien am / tmp an / private / tmp Verzeichnis schafft, déi benotzt kënne ginn fir Privilegien un de Root Benotzer z'eskaléieren.
Bis elo sinn d'Problemer scho vun de meeschte Fournisseuren fixéiert, awer et ass bemierkenswäert datt déi éischt Notifikatiounen iwwer de Problem un d'Fabrikanten am Hierscht 2018 geschéckt goufen. Och wann net all Ubidder Updates verëffentlecht hunn, hunn se op d'mannst 6 Méint fir ze patchen, an RACK911 Labs mengt datt et elo gratis ass d'Schwächheeten z'entdecken. Et gëtt bemierkt datt RACK911 Labs fir eng laang Zäit un der Identifikatioun vu Schwachstelle geschafft huet, awer et huet net erwaart datt et sou schwéier wier mat Kollegen aus der Antivirusindustrie ze schaffen wéinst Verspéidungen bei der Verëffentlechung vun Updates an ignoréiert d'Noutwendegkeet fir dréngend Sécherheet ze fixéieren Problemer.
Betraff Produkter (de gratis Antivirus Package ClamAV ass net opgelëscht):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Sécherheet
- Eset Dateiserver Sécherheet
- F-Secure Linux Sécherheet
- Kaspersy Endpunkt Sécherheet
- McAfee Endpunkt Sécherheet
- Sophos Anti-Virus fir Linux
- Windows
- Avast Fräi Anti-Virus
- Avira Fräi Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Sécherheet
- F-Secure Computer Schutz
- FireEye Endpunkt Sécherheet
- InterceptX (Sophos)
- Kaspersky Endpoint Sécherheet
- Malwarebytes fir Windows
- McAfee Endpunkt Sécherheet
- Panda Kuppel
- Webroot Séchert Iwwerall
- macOS
- rel
- BitDefender Total Sécherheet
- Eset Cyber Sécherheet
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Séchert Iwwerall
Source: opennet.ru