Raziskovalci iz laboratorija RACK911 da so bili skoraj vsi protivirusni paketi za Windows, Linux in macOS ranljivi za napade, ki manipulirajo s pogoji tekmovanja med brisanjem datotek, v katerih je bila odkrita zlonamerna programska oprema.
Če želite izvesti napad, morate naložiti datoteko, ki jo protivirusni program prepozna kot zlonamerno (lahko na primer uporabite testni podpis), in po določenem času, potem ko protivirusna programska oprema zazna zlonamerno datoteko, vendar tik pred klicem funkcije če ga želite izbrisati, zamenjajte imenik z datoteko s simbolično povezavo. V sistemu Windows se za dosego enakega učinka zamenjava imenika izvede z uporabo spoja imenika. Težava je v tem, da skoraj vsi antivirusi niso pravilno preverjali simbolnih povezav in so v prepričanju, da brišejo zlonamerno datoteko, izbrisali datoteko v imeniku, na katerega kaže simbolna povezava.
V Linuxu in macOS-u je prikazano, kako lahko na ta način neprivilegirani uporabnik izbriše /etc/passwd ali katero koli drugo sistemsko datoteko, v Windowsih pa DDL knjižnico samega antivirusa, da blokira njegovo delo (v Windowsih je napad omejen le na brisanje). datoteke, ki jih trenutno ne uporabljajo druge aplikacije). Napadalec lahko na primer ustvari imenik »exploit« in vanj naloži datoteko EpSecApiLib.dll s podpisom testnega virusa, nato pa imenik »exploit« zamenja s povezavo »C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security«, preden jo izbrišete Platforma«, kar bo povzročilo odstranitev knjižnice EpSecApiLib.dll iz protivirusnega kataloga. V Linuxu in macosih lahko podoben trik izvedete tako, da imenik zamenjate s povezavo »/etc«.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
medtem ko inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “ODPRTO”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
opravljeno
Poleg tega je bilo ugotovljeno, da številni protivirusni programi za Linux in macOS uporabljajo predvidljiva imena datotek pri delu z začasnimi datotekami v imenikih /tmp in /private/tmp, kar bi lahko uporabili za stopnjevanje privilegijev korenskemu uporabniku.
Težave je do zdaj večina dobaviteljev že odpravila, omembe vredno pa je, da so prva obvestila o težavi proizvajalcem poslala že jeseni 2018. Čeprav vsi prodajalci niso izdali posodobitev, so imeli vsaj 6 mesecev časa za popravek in RACK911 Labs verjame, da lahko zdaj brezplačno razkrije ranljivosti. Opozoriti je treba, da RACK911 Labs že dolgo dela na prepoznavanju ranljivosti, vendar ni pričakoval, da bo tako težko sodelovati s kolegi iz protivirusne industrije zaradi zamud pri izdajanju posodobitev in ignoriranja potrebe po nujnem popravku varnosti. težave.
Prizadeti izdelki (brezplačni protivirusni paket ClamAV ni naveden):
- Linux
- BitDefender GravityZone
- Varnost končne točke Comodo
- Varnost datotečnega strežnika Eset
- Varnost F-Secure Linux
- Kaspersy Endpoint Security
- Varnost McAfee Endpoint
- Sophos Anti-Virus za Linux
- Windows
- Brezplačni antivirusni program Avast
- Brezplačen protivirusni program Avira
- BitDefender GravityZone
- Varnost končne točke Comodo
- Zaščita računalnika F-Secure
- Varnost končne točke FireEye
- Prestrezanje X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes za Windows
- Varnost McAfee Endpoint
- Panda kupola
- Webroot Secure kjerkoli
- macOS
- AVG
- BitDefender Popolna varnost
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure kjerkoli
Vir: opennet.ru