Cercetătorii de la RACK911 Labs că aproape toate pachetele antivirus pentru Windows, Linux și macOS erau vulnerabile la atacuri care manipulau condițiile de cursă în timpul ștergerii fișierelor în care a fost detectat malware.
Pentru a efectua un atac, trebuie să încărcați un fișier pe care antivirusul îl recunoaște ca fiind rău intenționat (de exemplu, puteți utiliza o semnătură de test) și după un anumit timp, după ce antivirusul detectează fișierul rău intenționat, dar imediat înainte de a apela funcția pentru a-l șterge, înlocuiți directorul cu fișierul cu o legătură simbolică. Pe Windows, pentru a obține același efect, înlocuirea directorului se realizează folosind o joncțiune de director. Problema este că aproape toate antivirusurile nu au verificat corect legăturile simbolice și, crezând că șterg un fișier rău intenționat, au șters fișierul din directorul către care indică legătura simbolică.
În Linux și macOS se arată cum în acest fel un utilizator neprivilegiat poate șterge /etc/passwd sau orice alt fișier de sistem, iar în Windows biblioteca DDL a antivirusului în sine pentru a-și bloca funcționarea (în Windows atacul se limitează doar la ștergere fișiere care nu sunt utilizate în prezent de alte aplicații). De exemplu, un atacator poate crea un director „exploat” și poate încărca fișierul EpSecApiLib.dll cu o semnătură de virus de testare în el, apoi înlocuiește directorul „exploit” cu linkul „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” înainte de a-l șterge Platforma”, ceea ce va duce la eliminarea bibliotecii EpSecApiLib.dll din catalogul antivirus. În Linux și macos, un truc similar poate fi făcut prin înlocuirea directorului cu linkul „/etc”.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
în timp ce inotifywait -m „/home/user/exploit/passwd” | grep -m 5 „DESCHIS”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
făcut
Mai mult, s-a descoperit că multe antivirusuri pentru Linux și macOS folosesc nume de fișiere previzibile atunci când lucrează cu fișiere temporare din directorul /tmp și /private/tmp, care ar putea fi folosite pentru a escalada privilegiile utilizatorului root.
Până acum, problemele au fost deja rezolvate de majoritatea furnizorilor, dar este de remarcat faptul că primele notificări despre problemă au fost trimise producătorilor în toamna anului 2018. Deși nu toți vânzătorii au lansat actualizări, li s-au dat cel puțin 6 luni pentru a corecta, iar RACK911 Labs consideră că acum este liber să dezvăluie vulnerabilitățile. Se observă că RACK911 Labs lucrează de mult timp la identificarea vulnerabilităților, dar nu se aștepta că va fi atât de dificil să lucreze cu colegii din industria antivirus din cauza întârzierilor în lansarea actualizărilor și ignorând necesitatea remedierii urgente a securității. Probleme.
Produse afectate (pachetul antivirus gratuit ClamAV nu este listat):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Securitatea serverului de fișiere Eset
- F-Secure de securitate Linux
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Anti-Virus Sophos pentru Linux
- ferestre din
- Avast antivirus gratuit
- Anti-Virus gratuit Avira
- BitDefender GravityZone
- Comodo Endpoint Security
- Protecție F-Secure pentru computer
- FireEye Endpoint Security
- Interceptează X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes pentru Windows
- McAfee Endpoint Security
- Cupola Panda
- Webroot Secure Oriunde
- MACOS
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Oriunde
Sursa: opennet.ru