Penyelidik dari RACK911 Labs bahawa hampir semua pakej antivirus untuk Windows, Linux dan macOS terdedah kepada serangan yang memanipulasi keadaan perlumbaan semasa pemadaman fail yang mana perisian hasad dikesan.
Untuk melakukan serangan, anda perlu memuat naik fail yang dikenali oleh antivirus sebagai berniat jahat (contohnya, anda boleh menggunakan tandatangan ujian), dan selepas masa tertentu, selepas antivirus mengesan fail berniat jahat itu, tetapi sejurus sebelum memanggil fungsi itu. untuk memadamnya, gantikan direktori dengan fail dengan pautan simbolik. Pada Windows, untuk mencapai kesan yang sama, penggantian direktori dilakukan menggunakan persimpangan direktori. Masalahnya ialah hampir semua antivirus tidak menyemak pautan simbolik dengan betul dan, mempercayai bahawa mereka memadamkan fail berniat jahat, memadamkan fail dalam direktori yang ditunjukkan pautan simbolik.
Dalam Linux dan macOS ia ditunjukkan bagaimana dengan cara ini pengguna yang tidak mempunyai hak istimewa boleh memadam /etc/passwd atau mana-mana fail sistem lain, dan dalam Windows perpustakaan DDL antivirus itu sendiri untuk menyekat kerjanya (dalam Windows serangan hanya terhad kepada memadam fail yang tidak digunakan oleh aplikasi lain pada masa ini). Sebagai contoh, penyerang boleh mencipta direktori "exploit" dan memuatkan fail EpSecApiLib.dll dengan tandatangan virus ujian ke dalamnya, dan kemudian menggantikan direktori "exploit" dengan pautan "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" sebelum memadamkannya Platform", yang akan membawa kepada pengalihan keluar pustaka EpSecApiLib.dll daripada katalog antivirus. Dalam Linux dan macos, helah serupa boleh dilakukan dengan menggantikan direktori dengan pautan β/etcβ.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
manakala inotifywait -m β/home/user/exploit/passwdβ | grep -m 5 βBUKAβ
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
dilakukan
Selain itu, banyak antivirus untuk Linux dan macOS didapati menggunakan nama fail yang boleh diramal apabila bekerja dengan fail sementara dalam direktori /tmp dan /private/tmp, yang boleh digunakan untuk meningkatkan keistimewaan kepada pengguna root.
Pada masa ini, masalah telah diselesaikan oleh kebanyakan pembekal, tetapi perlu diperhatikan bahawa pemberitahuan pertama tentang masalah itu telah dihantar kepada pengeluar pada musim gugur 2018. Walaupun tidak semua vendor telah mengeluarkan kemas kini, mereka telah diberikan sekurang-kurangnya 6 bulan untuk menambal, dan RACK911 Labs percaya ia kini bebas untuk mendedahkan kelemahan. Adalah diperhatikan bahawa RACK911 Labs telah berusaha untuk mengenal pasti kelemahan untuk masa yang lama, tetapi ia tidak menjangkakan bahawa ia akan menjadi sangat sukar untuk bekerja dengan rakan sekerja dari industri antivirus kerana kelewatan dalam mengeluarkan kemas kini dan mengabaikan keperluan untuk membetulkan keselamatan dengan segera masalah.
Produk yang terjejas (pakej antivirus percuma ClamAV tidak disenaraikan):
- Linux
- BitDefender GravityZone
- Keselamatan Titik Akhir Comodo
- Keselamatan Pelayan Fail Eset
- Keselamatan Linux F-Secure
- Keselamatan Titik Akhir Kaspersy
- Keselamatan Titik Akhir McAfee
- Sophos Anti-Virus untuk Linux
- Windows
- Anti-Virus Percuma Avast
- Anti Virus Avira Percuma
- BitDefender GravityZone
- Keselamatan Titik Akhir Comodo
- Perlindungan Komputer F-Secure
- Keselamatan Titik Akhir FireEye
- Pintas X (Sophos)
- Keselamatan Titik Akhir Kaspersky
- Malwarebytes untuk Windows
- Keselamatan Titik Akhir McAfee
- Kubah Panda
- Webroot Selamat Di Mana sahaja
- MacOS
- AVG
- Keselamatan Keseluruhan BitDefender
- Eset Keselamatan Siber
- Kaspersky Internet Security
- Perlindungan Jumlah McAfee
- Pembela Microsoft (BETA)
- Norton Security
- Rumah Sophos
- Webroot Selamat Di Mana sahaja
Sumber: opennet.ru