Pētnieki no RACK911 Labs ka gandrīz visas pretvīrusu pakotnes operētājsistēmām Windows, Linux un macOS bija neaizsargātas pret uzbrukumiem, kas manipulēja ar sacensību apstākļiem, dzēšot failus, kuros tika atklāta ļaunprātīga programmatūra.
Lai veiktu uzbrukumu, jums ir jāaugšupielādē fails, kuru antivīruss atpazīst kā ļaunprātīgu (piemēram, varat izmantot testa parakstu), un pēc noteikta laika, pēc tam, kad antivīruss ir atklājis ļaunprātīgo failu, bet tieši pirms funkcijas izsaukšanas. lai to izdzēstu, nomainiet direktoriju ar failu ar simbolisku saiti. Operētājsistēmā Windows, lai sasniegtu tādu pašu efektu, direktoriju aizstāšana tiek veikta, izmantojot direktoriju savienojumu. Problēma ir tā, ka gandrīz visi antivīrusi nepareizi pārbaudīja simboliskās saites un, uzskatot, ka tie dzēš ļaunprātīgu failu, izdzēsa failu direktorijā, uz kuru norāda simboliskā saite.
Operētājsistēmās Linux un macOS ir parādīts, kā šādā veidā nepievilcīgs lietotājs var izdzēst /etc/passwd vai jebkuru citu sistēmas failu, bet operētājsistēmā Windows paša antivīrusa DDL bibliotēka, lai bloķētu tā darbību (Windows uzbrukums aprobežojas tikai ar dzēšanu failus, kurus pašlaik neizmanto citas lietojumprogrammas). Piemēram, uzbrucējs var izveidot “izmantot” direktoriju un augšupielādēt tajā failu EpSecApiLib.dll ar testa vīrusa parakstu un pēc tam aizstāt direktoriju “exploit” ar saiti “C:\Program Files (x86)\McAfee\”. Endpoint Security\Endpoint Security” pirms tās dzēšanas Platforma”, kas novedīs pie EpSecApiLib.dll bibliotēkas noņemšanas no antivīrusu kataloga. Operētājsistēmās Linux un Macos līdzīgu triku var izdarīt, aizstājot direktoriju ar saiti “/etc”.
# / Bin! / Sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
kamēr inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
darīts
Turklāt tika konstatēts, ka daudzi pretvīrusi operētājsistēmām Linux un MacOS izmanto paredzamus failu nosaukumus, strādājot ar pagaidu failiem direktorijā /tmp un /private/tmp, ko varētu izmantot, lai piešķirtu root lietotāja privilēģijas.
Šobrīd lielākā daļa piegādātāju problēmas jau ir novērsušas, taču jāatzīmē, ka pirmie paziņojumi par problēmu ražotājiem tika nosūtīti 2018. gada rudenī. Lai gan ne visi pārdevēji ir izlaiduši atjauninājumus, tiem ir doti vismaz 6 mēneši, lai labotu, un RACK911 Labs uzskata, ka tagad var brīvi atklāt ievainojamības. Tiek atzīmēts, ka RACK911 Labs jau ilgu laiku ir strādājis pie ievainojamību identificēšanas, taču negaidīja, ka būs tik grūti strādāt ar kolēģiem no antivīrusu nozares, jo kavējas atjauninājumu izlaišana un netiek ņemta vērā nepieciešamība steidzami labot drošību. problēmas.
Ietekmētie produkti (bezmaksas pretvīrusu pakotne ClamAV nav iekļauta sarakstā):
- Linux
- BitDefender GravityZone
- Comodo galapunkta drošība
- Eset failu servera drošība
- F-Secure Linux drošība
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus operētājsistēmai Linux
- Windows
- Avast bezmaksas antivīrusu
- Bezmaksas Avira antivīruss
- BitDefender GravityZone
- Comodo galapunkta drošība
- F-Secure datoru aizsardzība
- FireEye galapunkta drošība
- Pārtvert X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes operētājsistēmai Windows
- McAfee Endpoint Security
- Panda kupols
- Webroot drošs jebkur
- macOS
- AVG
- BitDefender kopējā drošība
- Eset kiberdrošība
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot drošs jebkur
Avots: opennet.ru