Forskere fra RACK911 Labs at nesten alle antiviruspakker for Windows, Linux og macOS var sårbare for angrep som manipulerte raseforhold under sletting av filer der skadevare ble oppdaget.
For å utføre et angrep, må du laste opp en fil som antiviruset gjenkjenner som ondsinnet (for eksempel kan du bruke en testsignatur), og etter en viss tid, etter at antiviruset har oppdaget den skadelige filen, men rett før du kaller opp funksjonen for å slette den, bytt ut katalogen med filen med en symbolsk lenke. På Windows, for å oppnå samme effekt, utføres katalogerstatning ved hjelp av et katalogkryss. Problemet er at nesten alle antivirus ikke sjekket symbolske lenker ordentlig, og i troen på at de slettet en ondsinnet fil, slettet de filen i katalogen som den symbolske lenken peker til.
I Linux og macOS vises det hvordan en uprivilegert bruker på denne måten kan slette /etc/passwd eller en hvilken som helst annen systemfil, og i Windows DDL-biblioteket til selve antiviruset for å blokkere arbeidet (i Windows er angrepet begrenset til å slette filer som for øyeblikket ikke brukes av andre programmer). En angriper kan for eksempel opprette en "exploit"-katalog og laste opp EpSecApiLib.dll-filen med en testvirussignatur inn i den, og deretter erstatte "exploit"-katalogen med lenken "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" før du sletter den Platform", noe som vil føre til fjerning av EpSecApiLib.dll-biblioteket fra antiviruskatalogen. I Linux og Macos kan et lignende triks gjøres ved å erstatte katalogen med koblingen "/etc".
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
mens inotifywait -m “/home/user/exploit/passwd” | grep -m 5 «OPEN»
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
gjort
Dessuten ble det funnet at mange antivirus for Linux og macOS bruker forutsigbare filnavn når de arbeider med midlertidige filer i katalogen /tmp og /private/tmp, som kan brukes til å eskalere rettigheter til rotbrukeren.
Nå er problemene allerede løst av de fleste leverandører, men det er verdt å merke seg at de første varslene om problemet ble sendt til produsentene høsten 2018. Selv om ikke alle leverandører har gitt ut oppdateringer, har de fått minst 6 måneder på å lappe, og RACK911 Labs mener det nå er fritt fram å avsløre sårbarhetene. Det bemerkes at RACK911 Labs har jobbet med å identifisere sårbarheter i lang tid, men de forventet ikke at det ville være så vanskelig å samarbeide med kolleger fra antivirusindustrien på grunn av forsinkelser i utgivelsen av oppdateringer og ignorering av behovet for å raskt fikse sikkerheten. problemer.
Berørte produkter (gratis antiviruspakken ClamAV er ikke oppført):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset filserversikkerhet
- F-Secure Linux-sikkerhet
- Kaspersy endepunktssikkerhet
- McAfee Endpoint Security
- Sophos antivirus for Linux
- Windows
- Avast gratis antivirus
- Avira gratis antivirus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Databeskyttelse
- FireEye Endpoint Security
- InterceptX (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- McAfee Endpoint Security
- Panda kuppel
- Webroot Secure Anywhere
- macOS
- AVG
- BitDefender Total sikkerhet
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Kilde: opennet.ru