Naukowcy z RACK911 Labs że prawie wszystkie pakiety antywirusowe dla systemów Windows, Linux i macOS były podatne na ataki manipulujące warunkami wyścigu podczas usuwania plików, w których wykryto złośliwe oprogramowanie.
Aby przeprowadzić atak należy wgrać plik, który antywirus rozpozna jako złośliwy (można np. użyć sygnatury testowej) i po pewnym czasie, po wykryciu przez antywirus szkodliwego pliku, ale bezpośrednio przed wywołaniem funkcji aby go usunąć, zastąp katalog plikiem z dowiązaniem symbolicznym. Aby osiągnąć ten sam efekt w systemie Windows, podstawienie katalogów odbywa się za pomocą połączenia katalogów. Problem polega na tym, że prawie wszystkie programy antywirusowe nie sprawdzały prawidłowo dowiązań symbolicznych i wierząc, że usuwają szkodliwy plik, usuwały plik w katalogu, na który wskazuje dowiązanie symboliczne.
W systemie Linux i macOS pokazano, jak w ten sposób nieuprzywilejowany użytkownik może usunąć /etc/passwd lub dowolny inny plik systemowy, a w Windows bibliotekę DDL samego antywirusa, aby zablokować jego pracę (w Windows atak ogranicza się jedynie do usunięcia pliki, które nie są aktualnie używane przez inne aplikacje). Na przykład osoba atakująca może utworzyć katalog „exploit” i przesłać do niego plik EpSecApiLib.dll z sygnaturą wirusa testowego, a następnie zastąpić katalog „exploit” łączem „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” przed usunięciem Platformy”, co spowoduje usunięcie biblioteki EpSecApiLib.dll z katalogu antywirusa. W systemie Linux i macos podobną sztuczkę można wykonać, zastępując katalog linkiem „/etc”.
#! / Bin / sh
rm -rf /home/użytkownik/exploit ; mkdir /home/użytkownik/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m „/home/user/exploit/passwd” | grep -m 5 „OTWARTE”
do
rm -rf /home/użytkownik/exploit ; ln -s /etc /home/użytkownik/exploit
zrobić
Co więcej, odkryto, że wiele programów antywirusowych dla systemów Linux i macOS używa przewidywalnych nazw plików podczas pracy z plikami tymczasowymi w katalogach /tmp i /private/tmp, których można użyć do eskalacji uprawnień do użytkownika root.
Do tej pory problemy zostały już naprawione przez większość dostawców, ale warto zauważyć, że pierwsze powiadomienia o problemie zostały wysłane do producentów jesienią 2018 roku. Chociaż nie wszyscy dostawcy opublikowali aktualizacje, dano im co najmniej 6 miesięcy na załatanie, a RACK911 Labs uważa, że teraz może ujawnić luki. Należy zauważyć, że RACK911 Labs od dłuższego czasu pracuje nad identyfikacją podatności, ale nie spodziewał się, że współpraca z kolegami z branży antywirusowej będzie tak trudna ze względu na opóźnienia w wypuszczaniu aktualizacji i ignorowanie konieczności pilnej naprawy zabezpieczeń problemy.
Produkty, których dotyczy problem (bezpłatny pakiet antywirusowy ClamAV nie znajduje się na liście):
- Linux
- BitDefender GravityZone
- Ochrona punktów końcowych Comodo
- Bezpieczeństwo serwera plików ESET
- Bezpieczeństwo F-Secure Linux
- Kaspersky Endpoint Security
- Bezpieczeństwo punktów końcowych McAfee
- Sophos Anti-Virus dla systemu Linux
- Windows
- Avast darmowy antywirus
- Avira darmowy antywirus
- BitDefender GravityZone
- Ochrona punktów końcowych Comodo
- Ochrona komputera F-Secure
- Bezpieczeństwo punktów końcowych FireEye
- Przechwyć X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes dla Windows
- Bezpieczeństwo punktów końcowych McAfee
- Kopuła Pandy
- Webroot Bezpieczny w dowolnym miejscu!
- macOS
- AVG
- Całkowite bezpieczeństwo BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Bezpieczeństwo
- Sophos Home
- Webroot Bezpieczny w dowolnym miejscu!
Źródło: opennet.ru