Výskumníci z RACK911 Labs
Ak chcete vykonať útok, musíte nahrať súbor, ktorý antivírus rozpozná ako škodlivý (môžete napríklad použiť testovací podpis), a po určitom čase, keď antivírus zistí škodlivý súbor, ale bezprostredne pred volaním funkcie ak ho chcete odstrániť, nahraďte adresár so súborom so symbolickým odkazom. V systéme Windows sa na dosiahnutie rovnakého účinku vykoná nahradenie adresára pomocou spojenia adresárov. Problém je v tom, že takmer všetky antivírusy poriadne nekontrolovali symbolické odkazy a v domnení, že vymazávajú škodlivý súbor, vymazali súbor v adresári, na ktorý symbolický odkaz ukazuje.
V Linuxe a macOS je ukázané, ako takto môže neprivilegovaný používateľ vymazať /etc/passwd alebo akýkoľvek iný systémový súbor a vo Windows samotnú DDL knižnicu antivírusu na zablokovanie jeho práce (vo Windows je útok obmedzený len na vymazanie súbory, ktoré momentálne nepoužívajú iné aplikácie). Útočník môže napríklad vytvoriť adresár „exploit“ a nahrať doň súbor EpSecApiLib.dll s podpisom testovacieho vírusu a potom nahradiť adresár „exploit“ odkazom „C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” pred odstránením Platform”, čo povedie k odstráneniu knižnice EpSecApiLib.dll z antivírusového katalógu. V Linuxe a Macos sa dá urobiť podobný trik nahradením adresára odkazom „/ etc“.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
zatiaľ čo inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OTVORENÉ”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
vykonané
Navyše sa zistilo, že veľa antivírusov pre Linux a macOS používa predvídateľné názvy súborov pri práci s dočasnými súbormi v adresári /tmp a /private/tmp, ktoré možno použiť na eskaláciu privilégií na používateľa root.
Väčšina dodávateľov už problémy vyriešila, ale je pozoruhodné, že prvé oznámenia o probléme boli výrobcom zaslané na jeseň roku 2018. Aj keď nie všetci dodávatelia vydali aktualizácie, dostali aspoň 6 mesiacov na opravu a RACK911 Labs verí, že teraz je možné zverejniť zraniteľnosti. Je potrebné poznamenať, že laboratóriá RACK911 pracovali na identifikácii zraniteľností už dlho, ale nepredpokladali, že bude tak ťažké spolupracovať s kolegami z antivírusového priemyslu kvôli oneskoreniam pri vydávaní aktualizácií a ignorovaniu potreby urgentnej opravy zabezpečenia. problémy.
Ovplyvnené produkty (bezplatný antivírusový balík ClamAV nie je uvedený):
- Linux
- BitDefender GravityZone
- Zabezpečenie Comodo Endpoint
- Zabezpečenie súborového servera Eset
- Zabezpečenie systému F-Secure Linux
- Kaspersy Endpoint Security
- Zabezpečenie McAfee Endpoint
- Sophos Anti-Virus pre Linux
- Windows
- Bezplatný antivírus Avast
- Bezplatný antivírus Avira
- BitDefender GravityZone
- Zabezpečenie Comodo Endpoint
- Ochrana počítača F-Secure
- Zabezpečenie koncového bodu FireEye
- InterceptX (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes pre Windows
- Zabezpečenie McAfee Endpoint
- Dome Panda
- Zabezpečené kdekoľvek na webe
- macOS
- AVG
- Celkové zabezpečenie BitDefender
- Kybernetická bezpečnosť Eset
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- norton Security
- Sophos Home
- Zabezpečené kdekoľvek na webe
Zdroj: opennet.ru