پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > اڪثر اينٽي وائرس علامتي لنڪ ذريعي حملن لاءِ حساس هوندا آهن

اڪثر اينٽي وائرس علامتي لنڪ ذريعي حملن لاءِ حساس هوندا آهن

RACK911 ليبز مان محقق محسوس ڪيو ونڊوز، لينڪس ۽ macOS لاءِ لڳ ڀڳ سڀئي اينٽي وائرس پيڪيجز انهن فائلن کي حذف ڪرڻ دوران نسل جي حالتن کي هٿي وٺرائڻ جي حملن لاءِ خطرناڪ هئا جن ۾ مالويئر دريافت ڪيو ويو هو.

حملي کي انجام ڏيڻ لاء، توهان کي هڪ فائل اپلوڊ ڪرڻ جي ضرورت آهي جيڪا اينٽي وائرس کي خراب طور تي سڃاڻي ٿي (مثال طور، توهان هڪ امتحان جي دستخط استعمال ڪري سگهو ٿا)، ۽ هڪ خاص وقت کان پوء، اينٽي وائرس خراب فائل کي ڳولڻ کان پوء، پر فوري طور تي فنڪشن کي ڪال ڪرڻ کان اڳ. ان کي ختم ڪرڻ لاء، ڊاريڪٽري کي فائل سان علامتي لنڪ سان تبديل ڪريو. ونڊوز تي، ساڳئي اثر حاصل ڪرڻ لاء، ڊاريڪٽري جي متبادل کي ڊاريڪٽري جنڪشن استعمال ڪندي ڪيو ويندو آهي. مسئلو اهو آهي ته تقريبن سڀئي اينٽي وائرس صحيح نموني سان علامتي لنڪس کي چيڪ نه ڪندا هئا ۽، يقين رکون ٿا ته اهي هڪ خراب فائل کي حذف ڪري رهيا هئا، ڊاريڪٽري ۾ فائل کي حذف ڪيو جنهن ڏانهن علامتي لنڪ پوائنٽ.

لينڪس ۽ macOS ۾ اهو ڏيکاريو ويو آهي ته ڪيئن اهڙي طريقي سان هڪ غير مراعات يافته صارف /etc/passwd يا ڪنهن ٻئي سسٽم فائل کي حذف ڪري سگهي ٿو، ۽ ونڊوز ۾ اينٽي وائرس جي ڊي ڊي ايل لائبريري خود ان جي ڪم کي بلاڪ ڪرڻ لاء (ونڊوز ۾ حملو صرف حذف ڪرڻ تائين محدود آهي. فائلون جيڪي في الحال ٻين ايپليڪيشنن پاران استعمال نه ڪيا ويا آهن). مثال طور، هڪ حملو ڪندڙ هڪ "استحصال" ڊاريڪٽري ٺاهي سگهي ٿو ۽ EpSecApiLib.dll فائل کي اپلوڊ ڪري سگھي ٿو ان ۾ ٽيسٽ وائرس جي دستخط سان، ۽ پوء "استحصال" ڊاريڪٽري کي لنڪ سان تبديل ڪري سگھي ٿو "C:\Program Files (x86)\McAfee\ EndPoint Security\Endpoint Security” ان کي ختم ڪرڻ کان پهريان پليٽ فارم“، جيڪو اينٽي وائرس ڪيٽلاگ مان EpSecApiLib.dll لائبريري کي هٽائڻ جو سبب بڻجندو. لينڪس ۽ ميڪوس ۾، هڪ ساڳي چال ڊاريڪٽري کي "/etc" لنڪ سان تبديل ڪندي ڪري سگهجي ٿو.

#! / بن / ش
rm -rf /home/user/exploit ؛ mkdir/home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
جڏهن ته inotifywait -m “/home/user/exploit/passwd” | grep -m 5 "اوپن"
do
rm -rf /home/user/exploit ؛ ln-s/etc/home/user/exploit
مڪمل ٿيو



ان کان علاوه، لينڪس ۽ macOS لاءِ ڪيترائي اينٽي وائرس مليا ويا جيڪي اڳڪٿي لائق فائل جا نالا استعمال ڪندا هئا جڏهن عارضي فائلن سان ڪم ڪري رهيا هئا /tmp ۽ /private/tmp ڊاريڪٽري ۾، جيڪي روٽ استعمال ڪندڙ کي استحقاق وڌائڻ لاءِ استعمال ڪري سگھجن ٿيون.

هينئر تائين، مسئلا اڳ ۾ ئي اڪثر سپلائرز طرفان مقرر ڪيا ويا آهن، پر اهو قابل ذڪر آهي ته مسئلي بابت پهرين اطلاعن کي 2018 جي ​​زوال ۾ ٺاهيندڙن ڏانهن موڪليو ويو. جيتوڻيڪ سڀني وينڊرز تازه ڪاريون جاري نه ڪيون آهن، انهن کي گهٽ ۾ گهٽ 6 مهينا ڏنا ويا آهن پيچ ڪرڻ لاء، ۽ RACK911 ليبز کي يقين آهي ته اهو هاڻي نقصانات کي ظاهر ڪرڻ لاء آزاد آهي. اهو نوٽ ڪيو وڃي ٿو ته RACK911 ليبز هڪ ڊگهي وقت کان ڪمزورين جي نشاندهي ڪرڻ تي ڪم ڪري رهيو آهي، پر اهو توقع نه هئي ته اينٽي وائرس صنعت جي ساٿين سان گڏ ڪم ڪرڻ ايترو ڏکيو هوندو، ڇاڪاڻ ته اپڊيٽ جاري ڪرڻ ۾ دير ٿيڻ ۽ سيڪيورٽي کي فوري طور تي درست ڪرڻ جي ضرورت کي نظر انداز ڪرڻ جي ڪري. مسئلا.

متاثر ٿيل پراڊڪٽس (مفت اينٽي وائرس پيڪيج ClamAV درج ٿيل نه آهي):

  • لينڪس
    • بٽ ڊيفنڊر ڪشش ثقل زون
    • ڪموڊو پوائنٽ سيڪيورٽي
    • ايسٽ فائل سرور سيڪيورٽي
    • ايف سي ليڪس سيڪيورٽي
    • ڪاسپرسي پوائنٽ سيڪيورٽي
    • ميگا اي پي پوائنٽ پوائنٽ سيڪيورٽي
    • لينڪس لاءِ سوفوس اينٽي وائرس
  • ونڊوز
    • اوسٽ مفت اينٽي وائرس
    • اوپيرا مفت اينٽي وائرس
    • بٽ ڊيفنڊر ڪشش ثقل زون
    • ڪموڊو پوائنٽ سيڪيورٽي
    • F- محفوظ ڪمپيوٽر تحفظ
    • فائر جي آخري پوائنٽ جي حفاظت
    • Intercept X (سوفوس)
    • ڪاسپرسڪي اينڊ پوائنٽ سيڪيورٽي
    • ونڊوز لاءِ ملورائيبائٽس
    • ميگا اي پي پوائنٽ پوائنٽ سيڪيورٽي
    • پانڊا گنبد
    • ويبروٽ ڪٿي به محفوظ
  • macOS
    • سراسري
    • بيٽ ڊيفينڊر ڪل سيڪيورٽي
    • ايسٽر سائبر سيڪيورٽي
    • ڪاسسرڪي انٽرنيٽ سيڪيورٽي
    • مکفافي ڪل تحفظ
    • مائڪروسوفٽ محافظ (بيٽا)
    • نورن جي حفاظت
    • سوفس گهر
    • ويبروٽ ڪٿي به محفوظ

    جو ذريعو: opennet.ru

تبصرو شامل ڪريو