Peneliti ti RACK911 Labs yén ampir kabéh pakét antipirus pikeun Windows, Linux, sareng macOS rentan ka serangan manipulasi kaayaan balapan nalika ngahapus file dimana malware dideteksi.
Pikeun ngalaksanakeun serangan, anjeun kedah unggah file anu diakui ku antipirus salaku jahat (contona, anjeun tiasa nganggo tanda tangan tés), sareng saatos sababaraha waktos, saatos antipirus ngadeteksi file jahat, tapi langsung sateuacan nelepon fungsina. pikeun ngahapus eta, ngaganti diréktori jeung file jeung link simbolis. Dina Windows, pikeun ngahontal éfék anu sami, substitusi diréktori dilakukeun nganggo simpang diréktori. Masalahna nyaéta ampir kabéh antipirus henteu leres pariksa tautan simbolis sareng, percanten yén aranjeunna ngahapus file jahat, ngahapus file dina diréktori dimana tautan simbolis nunjuk.
Dina Linux sareng macOS ditingalikeun kumaha cara ieu pangguna anu teu boga hak istimewa tiasa ngahapus /etc/passwd atanapi file sistem anu sanés, sareng dina Windows perpustakaan DDL antipirus sorangan pikeun meungpeuk karyana (dina Windows seranganna ngan ukur ngahapus. file anu ayeuna henteu dianggo ku aplikasi anu sanés). Salaku conto, panyerang tiasa nyiptakeun diréktori "eksploitasi" sareng unggah file EpSecApiLib.dll kalayan tanda tangan virus tés kana éta, teras ngagentos diréktori "eksploitasi" sareng tautan "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security"saméméh ngahapus éta Platform", anu bakal ngakibatkeun panyabutan perpustakaan EpSecApiLib.dll tina katalog antipirus. Dina Linux sareng Macos, trik anu sami tiasa dilakukeun ku ngagentos diréktori sareng tautan "/etc".
#! / Bin / sh
rm -rf /home/user/exploit; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
bari inotifywait -m "/ imah / pamaké / mangpaatkeun / passwd" | grep -m 5 "BUKA"
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
Puguh
Sumawona, seueur antipirus pikeun Linux sareng macOS kapendak nganggo nami file anu tiasa diprediksi nalika damel sareng file samentawis dina diréktori /tmp sareng /private/tmp, anu tiasa dianggo pikeun ningkatkeun hak istimewa ka pangguna akar.
Ayeuna, masalahna parantos dibereskeun ku kalolobaan supplier, tapi kedah diperhatoskeun yén béwara munggaran ngeunaan masalah éta dikirim ka pabrik dina usum gugur 2018. Sanaos henteu sadayana padagang parantos ngarilis pembaruan, aranjeunna parantos dipasihkeun sahenteuna 6 bulan pikeun nambal, sareng RACK911 Labs yakin yén éta ayeuna bébas ngungkabkeun kerentanan. Perhatoskeun yén RACK911 Labs parantos lami ngusahakeun ngaidentipikasi kerentanan, tapi henteu nyangka yén éta bakal sesah pikeun damel sareng kolega ti industri antipirus kusabab telat dina ngaleupaskeun apdet sareng teu malire kabutuhan pikeun gancang ngalereskeun kaamanan. masalah.
Produk anu kapangaruhan (pakét antipirus gratis ClamAV henteu didaptarkeun):
- Linux
- BitDefender GravityZone
- Kaamanan Endpoint Comodo
- Kaamanan Server File Eset
- F-Kaamanan Linux Kaamanan
- Kaspersy Endpoint Kaamanan
- Kaamanan Endak McAfee
- Sophos Anti-Virus pikeun Linux
- Windows
- Avast Free Anti Virus
- Avira Gratis Anti Virus
- BitDefender GravityZone
- Kaamanan Endpoint Comodo
- Perlindungan Komputer F-Aman
- FireEye Endpoint Kaamanan
- Nyegat X (Sophos)
- Kaspersky Endpoint Kaamanan
- Malwarebytes pikeun Windows
- Kaamanan Endak McAfee
- Kubah Panda
- Webroot Aman Di Mana waé
- macOS
- avg
- BitDefender Total Kaamanan
- Eset Cyber Security
- Kaspersky Internet Kaamanan
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Imah
- Webroot Aman Di Mana waé
sumber: opennet.ru