Pesquisadores dos laboratórios RACK911 que quase todos os pacotes antivírus para Windows, Linux e macOS eram vulneráveis a ataques que manipulavam condições de corrida durante a exclusão de arquivos nos quais o malware foi detectado.
Para realizar um ataque, você precisa fazer upload de um arquivo que o antivírus reconheça como malicioso (por exemplo, você pode usar uma assinatura de teste), e após um certo tempo, após o antivírus detectar o arquivo malicioso, mas imediatamente antes de chamar a função para excluí-lo, substitua o diretório pelo arquivo com um link simbólico. No Windows, para obter o mesmo efeito, a substituição de diretório é executada usando uma junção de diretório. O problema é que quase todos os antivírus não verificaram corretamente os links simbólicos e, acreditando que estavam excluindo um arquivo malicioso, apagaram o arquivo do diretório para o qual o link simbólico aponta.
No Linux e no macOS é mostrado como desta forma um usuário sem privilégios pode deletar /etc/passwd ou qualquer outro arquivo de sistema, e no Windows a biblioteca DDL do próprio antivírus para bloquear seu trabalho (no Windows o ataque se limita apenas a deletar arquivos que não são usados atualmente por outros aplicativos). Por exemplo, um invasor pode criar um diretório “exploit” e carregar nele o arquivo EpSecApiLib.dll com uma assinatura de vírus de teste e, em seguida, substituir o diretório “exploit” pelo link “C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” antes de excluí-lo Plataforma", o que levará à remoção da biblioteca EpSecApiLib.dll do catálogo de antivírus. No Linux e no macOS, um truque semelhante pode ser feito substituindo o diretório pelo link “/etc”.
# / Bin / sh
rm -rf /home/usuário/explorar; mkdir /home/usuário/explorar/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
enquanto inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “ABERTO”
do
rm -rf /home/usuário/explorar; ln -s /etc /home/user/exploit
feito
Além disso, descobriu-se que muitos antivírus para Linux e macOS usam nomes de arquivos previsíveis ao trabalhar com arquivos temporários nos diretórios /tmp e /private/tmp, que podem ser usados para escalar privilégios para o usuário root.
Até o momento, os problemas já foram corrigidos pela maioria dos fornecedores, mas vale ressaltar que as primeiras notificações sobre o problema foram enviadas aos fabricantes no outono de 2018. Embora nem todos os fornecedores tenham lançado atualizações, eles tiveram pelo menos 6 meses para corrigir, e o RACK911 Labs acredita que agora é livre para divulgar as vulnerabilidades. Observa-se que o RACK911 Labs vem trabalhando na identificação de vulnerabilidades há muito tempo, mas não esperava que seria tão difícil trabalhar com colegas da indústria de antivírus devido aos atrasos no lançamento de atualizações e ignorando a necessidade de corrigir a segurança com urgência problemas.
Produtos afetados (o pacote antivírus gratuito ClamAV não está listado):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Segurança do servidor de arquivos Eset
- Segurança Linux F-Secure
- Segurança de terminais Kaspersy
- Segurança de endpoints da McAfee
- Sophos Anti-Virus para Linux
- Windows
- Avast antivírus gratuito
- Avira, antivírus gratuito
- BitDefender GravityZone
- Comodo Endpoint Security
- Proteção de computador F-Secure
- Segurança de endpoints FireEye
- Interceptar X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes para Windows
- Segurança de endpoints da McAfee
- Cúpula panda
- Webroot seguro em qualquer lugar
- MacOS
- AVG
- Segurança Total BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot seguro em qualquer lugar
Fonte: opennet.ru