Mokslininkai iš RACK911 Labs kad beveik visi antivirusiniai paketai, skirti „Windows“, „Linux“ ir „MacOS“, buvo pažeidžiami atakų, manipuliuojančių lenktynių sąlygomis, ištrinant failus, kuriuose buvo aptikta kenkėjiška programa.
Norėdami įvykdyti ataką, turite įkelti failą, kurį antivirusinė atpažįsta kaip kenkėjišką (pavyzdžiui, galite naudoti bandomąjį parašą), o po tam tikro laiko, antivirusinei programai aptikus kenkėjišką failą, bet prieš pat iškvietus funkciją Norėdami jį ištrinti, pakeiskite katalogą failu su simboline nuoroda. Sistemoje Windows, norint pasiekti tą patį efektą, katalogų pakeitimas atliekamas naudojant katalogų sankryžą. Problema ta, kad beveik visos antivirusinės programos netinkamai patikrino simbolines nuorodas ir, manydamos, kad ištrina kenkėjišką failą, ištrynė failą iš katalogo, į kurį nukreipta simbolinė nuoroda.
„Linux“ ir „MacOS“ sistemose parodyta, kaip tokiu būdu neprivilegijuotas vartotojas gali ištrinti /etc/passwd ar bet kurį kitą sistemos failą, o „Windows“ - pačios antivirusinės programos DDL biblioteką, kad blokuotų jos darbą (Windows ataka apsiriboja tik ištrynimu failus, kurių šiuo metu nenaudoja kitos programos). Pavyzdžiui, užpuolikas gali sukurti „exploit“ katalogą ir į jį įkelti EpSecApiLib.dll failą su bandomuoju viruso parašu, o tada pakeisti „exploit“ katalogą nuoroda „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security“, prieš ištrindami ją Platforma“, dėl ko EpSecApiLib.dll biblioteka bus pašalinta iš antivirusinių katalogų. „Linux“ ir „Macos“ panašų triuką galima padaryti pakeičiant katalogą nuoroda „/etc“.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
o inotifywait -m "/home/user/exploit/passwd" | grep -m 5 „OPEN“
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
Done
Be to, buvo nustatyta, kad daugelis „Linux“ ir „MacOS“ skirtų antivirusinių programų naudoja nuspėjamus failų pavadinimus, kai dirba su laikinais failais /tmp ir /private/tmp kataloguose, kurie gali būti naudojami pagrindinio vartotojo privilegijoms perduoti.
Iki šiol nesklandumus dauguma tiekėjų jau yra ištaisę, tačiau pažymėtina, kad pirmieji pranešimai apie problemą gamintojams buvo išsiųsti 2018 metų rudenį. Nors ne visi pardavėjai išleido naujinimus, jiems buvo suteikta mažiausiai 6 mėnesiai pataisyti, o RACK911 Labs mano, kad dabar gali laisvai atskleisti pažeidžiamumą. Pažymima, kad RACK911 Labs jau seniai dirbo nustatydama pažeidžiamumą, tačiau nesitikėjo, kad bus taip sunku dirbti su kolegomis iš antivirusinės pramonės, nes vėluojama išleisti naujinimus ir nepaisyti būtinybės skubiai taisyti saugumą. problemų.
Paveikti produktai (nemokamo antivirusinio paketo ClamAV sąraše nėra):
- Linux
- „BitDefender GravityZone“
- „Comodo Endpoint Security“
- „Eset File Server Security“
- „F-Secure Linux Security“
- „Kaspersy Endpoint Security“
- „McAfee Endpoint Security“
- „Sophos Anti-Virus“, skirta „Linux“
- Windows
- „Avast Free Anti-Virus“
- „Avira Free Anti-Virus“
- „BitDefender GravityZone“
- „Comodo Endpoint Security“
- „F-Secure“ kompiuterio apsauga
- „FireEye Endpoint Security“
- X perėmėjas („Sophos“)
- „Kaspersky Endpoint Security“
- „Malwarebytes“, skirta „Windows“
- „McAfee Endpoint Security“
- Pandos kupolas
- „Webroot Secure Anywhere“
- macOS
- AVG
- „BitDefender“ visiškas saugumas
- „Eset Cyber Security“
- "Kaspersky Internet Security"
- „McAfee Total Protection“
- „Microsoft Defender“ (BETA)
- "Norton Security"
- Sophos Home
- „Webroot Secure Anywhere“
Šaltinis: opennet.ru