Onderzoekers van RACK911 Labs dat bijna alle antiviruspakketten voor Windows, Linux en macOS kwetsbaar waren voor aanvallen die racecondities manipuleerden tijdens het verwijderen van bestanden waarin malware werd gedetecteerd.
Om een aanval uit te voeren, moet u een bestand uploaden dat door de antivirus als schadelijk wordt herkend (u kunt bijvoorbeeld een testhandtekening gebruiken) en na een bepaalde tijd, nadat de antivirus het schadelijke bestand heeft gedetecteerd, maar onmiddellijk voordat u de functie aanroept Om het te verwijderen, vervangt u de map door het bestand met een symbolische link. Om hetzelfde effect te bereiken, wordt in Windows mapvervanging uitgevoerd met behulp van een mapknooppunt. Het probleem is dat bijna alle antivirusprogramma's de symbolische links niet goed controleerden en, in de veronderstelling dat ze een kwaadaardig bestand verwijderden, het bestand verwijderden in de map waarnaar de symbolische link verwijst.
In Linux en macOS wordt getoond hoe op deze manier een onbevoegde gebruiker /etc/passwd of een ander systeembestand kan verwijderen, en in Windows de DDL-bibliotheek van de antivirus zelf om zijn werk te blokkeren (in Windows is de aanval alleen beperkt tot het verwijderen van bestanden die momenteel niet door andere toepassingen worden gebruikt). Een aanvaller kan bijvoorbeeld een ‘exploit’-map maken en het bestand EpSecApiLib.dll met een testvirushandtekening daarin uploaden, en vervolgens de ‘exploit’-map vervangen door de link ‘C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” voordat u het Platform verwijdert, wat zal leiden tot de verwijdering van de EpSecApiLib.dll-bibliotheek uit de antiviruscatalogus. In Linux en macos kan een soortgelijke truc worden uitgevoerd door de map te vervangen door de link “/etc”.
#! / Bin / sh
rm -rf /home/gebruiker/exploit ; mkdir /home/gebruiker/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
terwijl inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/gebruiker/exploit ; ln -s /etc /home/gebruiker/exploit
gedaan
Bovendien bleken veel antivirusprogramma's voor Linux en macOS voorspelbare bestandsnamen te gebruiken bij het werken met tijdelijke bestanden in de mappen /tmp en /private/tmp, die gebruikt konden worden om bevoegdheden naar de rootgebruiker te escaleren.
Inmiddels zijn de problemen door de meeste leveranciers al verholpen, maar opvallend is dat in het najaar van 2018 de eerste meldingen over het probleem naar fabrikanten zijn gestuurd. Hoewel niet alle leveranciers updates hebben uitgebracht, hebben ze minimaal zes maanden de tijd gekregen om te patchen, en RACK6 Labs is van mening dat het nu vrij is om de kwetsbaarheden bekend te maken. Opgemerkt wordt dat RACK911 Labs al lange tijd bezig is met het identificeren van kwetsbaarheden, maar niet had verwacht dat het zo moeilijk zou zijn om met collega's uit de antivirusindustrie samen te werken vanwege vertragingen bij het vrijgeven van updates en het negeren van de noodzaak om dringend de beveiliging op te lossen problemen.
Betrokken producten (het gratis antiviruspakket ClamAV wordt niet vermeld):
- Linux
- BitDefender GravityZone
- Comodo-eindpuntbeveiliging
- Eset-bestandsserverbeveiliging
- F-Secure Linux-beveiliging
- Kaspersy Endpoint Security
- McAfee Eindpuntbeveiliging
- Sophos Anti-Virus voor Linux
- Dakramen en raamkozijnen
- Avast gratis antivirus
- Avira gratis antivirus
- BitDefender GravityZone
- Comodo-eindpuntbeveiliging
- F-Secure computerbescherming
- FireEye Endpoint-beveiliging
- Onderschepp X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes voor Windows
- McAfee Eindpuntbeveiliging
- Panda koepel
- Webroot Secure overal
- macOS
- AVG
- BitDefender Totale Beveiliging
- Eset Cyberbeveiliging
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (bèta)
- Norton Security
- Sophos Home
- Webroot Secure overal
Bron: opennet.ru