Повеќето антивируси се подложни на напади преку симболични врски

Истражувачи од RACK911 Labs привлече внимание дека скоро сите антивирусни пакети за Windows, Linux и macOS биле ранливи на напади кои манипулираат со условите на трката при бришење на датотеки во кои бил откриен малициозен софтвер.

За да извршите напад, треба да поставите датотека што антивирусот ја препознава како злонамерна (на пример, можете да користите потпис за тестирање) и по одредено време, откако антивирусот ќе ја открие злонамерната датотека, но веднаш пред да ја повикате функцијата за да го избришете, заменете го директориумот со датотеката со симболична врска. На Windows, за да се постигне истиот ефект, замена на директориумот се врши со помош на спој на директориум. Проблемот е што скоро сите антивируси не ги проверуваа правилно симболичните врски и, верувајќи дека бришат злонамерна датотека, ја избришаа датотеката во директориумот на кој укажува симболичката врска.

Во Linux и macOS се покажува како на овој начин непривилегиран корисник може да избрише /etc/passwd или која било друга системска датотека, а во Windows библиотеката DDL на самиот антивирус да ја блокира неговата работа (во Windows нападот е ограничен само на бришење датотеки кои моментално не се користат од други апликации). На пример, напаѓачот може да создаде директориум „exploit“ и да ја постави датотеката EpSecApiLib.dll со потпис на тест вирусот во неа, а потоа да го замени директориумот „exploit“ со врската „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security“ пред да ја избришете Платформа“, што ќе доведе до отстранување на библиотеката EpSecApiLib.dll од антивирусниот каталог. Во Linux и macos, сличен трик може да се направи со замена на директориумот со врската „/etc“.

# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
додека inotifywait -m “/home/user/exploit/passwd” | grep -m 5 „ОТВОРЕНО“
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
направи

Покрај тоа, беше откриено дека многу антивируси за Linux и macOS користат предвидливи имиња на датотеки кога работат со привремени датотеки во директориумот /tmp и /private/tmp, кои може да се користат за зголемување на привилегиите на root корисникот.

Досега, проблемите се веќе поправени од повеќето добавувачи, но вреди да се забележи дека првите известувања за проблемот беа испратени до производителите есента 2018 година. Иако не сите продавачи објавија ажурирања, тие добија најмалку 6 месеци да се закрпат, а RACK911 Labs верува дека сега е бесплатен да ги открие пропустите. Забележано е дека RACK911 Labs работи на идентификација на пропусти долго време, но не очекуваше дека ќе биде толку тешко да се работи со колегите од антивирусната индустрија поради доцнење во објавувањето ажурирања и игнорирање на потребата итно да се поправи безбедноста проблеми.

Засегнати производи (бесплатниот антивирусен пакет ClamAV не е наведен):

• Linux
  • BitDefender GravityZone
  • Безбедност на крајната точка на Комодо
  • Безбедност на серверот Eset со датотеки
  • F-Secure Linux безбедност
  • Kaspersy Endpoint Security
  • Безбедност на крајната точка на Мекафи
  • Анти-вирус на Софос за Линукс
• Windows
  • Бесплатен антивирус Avast
  • Авира бесплатен антивирус
  • BitDefender GravityZone
  • Безбедност на крајната точка на Комодо
  • F-Secure компјутерска заштита
  • Безбедност на крајната точка на FireEye
  • Пресечете X (Софос)
  • Kaspersky Endpoint Security
  • Malwarebytes за Windows
  • Безбедност на крајната точка на Мекафи
  • Купола панда
  • Webroot Безбедно каде било
• MacOS
  • AVG
  • BitDefender Тотална безбедност
  • Сајбер безбедност на Есет
  • Kaspersky Internet Security
  • McAfee Вкупно заштита
  • Microsoft Defender (БЕТА)
  • Нортон безбедност
  • Sophos Home
  • Webroot Безбедно каде било

  Извор: opennet.ru