Forskare från RACK911 Labs att nästan alla antiviruspaket för Windows, Linux och macOS var sårbara för attacker som manipulerade rasförhållandena under raderingen av filer där skadlig programvara upptäcktes.
För att utföra en attack måste du ladda upp en fil som antiviruset känner igen som skadlig (till exempel kan du använda en testsignatur), och efter en viss tid, efter att antiviruset har upptäckt den skadliga filen, men omedelbart innan funktionen anropas för att radera den, ersätt katalogen med filen med en symbolisk länk. På Windows, för att uppnå samma effekt, utförs katalogersättning med hjälp av en katalogövergång. Problemet är att nästan alla antivirus inte kontrollerade symboliska länkar ordentligt och, eftersom de trodde att de tog bort en skadlig fil, tog de bort filen i katalogen som den symboliska länken pekar till.
I Linux och macOS visas hur en oprivilegierad användare på detta sätt kan ta bort /etc/passwd eller vilken annan systemfil som helst, och i Windows DDL-biblioteket för själva antivirusprogrammet för att blockera dess arbete (i Windows är attacken begränsad till att bara radera filer som för närvarande inte används av andra program). Till exempel kan en angripare skapa en "exploit"-katalog och ladda upp filen EpSecApiLib.dll med en testvirussignatur till den, och sedan ersätta "exploit"-katalogen med länken "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" innan du tar bort den Platform", vilket kommer att leda till att EpSecApiLib.dll-biblioteket tas bort från antiviruskatalogen. I Linux och Macos kan ett liknande knep göras genom att ersätta katalogen med länken "/etc".
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
medan inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
gjort
Dessutom visade sig många antivirus för Linux och macOS använda förutsägbara filnamn när de arbetade med temporära filer i katalogerna /tmp och /private/tmp, som kunde användas för att eskalera privilegier till rotanvändaren.
Vid det här laget har problemen redan åtgärdats av de flesta leverantörer, men det är anmärkningsvärt att de första meddelandena om problemet skickades till tillverkarna hösten 2018. Även om inte alla leverantörer har släppt uppdateringar har de fått minst 6 månader på sig att patcha, och RACK911 Labs anser att det nu är fritt fram att avslöja sårbarheterna. Det noteras att RACK911 Labs har arbetat med att identifiera sårbarheter under lång tid, men man förväntade sig inte att det skulle vara så svårt att arbeta med kollegor från antivirusbranschen på grund av förseningar i att släppa uppdateringar och ignorera behovet av att snarast fixa säkerheten problem.
Berörda produkter (det kostnadsfria antiviruspaketet ClamAV är inte listat):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset filserversäkerhet
- F-Secure Linux-säkerhet
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus för Linux
- Windows
- Avast gratis antivirus
- Avira gratis antivirus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure datorskydd
- FireEye Endpoint Security
- Avlyssna X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes för Windows
- McAfee Endpoint Security
- Panda kupol
- Webroot Secure Anywhere
- MacOS
- AVG
- BitDefender Total säkerhet
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Källa: opennet.ru