Исследователи из компании RACK911 Labs
Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, почти все антивирусы должным образом не выполняли проверку символических ссылок и, считая что удаляют вредоносный файл, удаляли файл в каталоге на который указывает символическая ссылка.
В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл, а в Windows DDL-библиотеку самого антивируса для блокирования его работы (в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями). Например, атакующий может создать каталог «exploit» и загрузить в него файл EpSecApiLib.dll с тестовой сигнатурой вируса, после чего перед удалением заменить каталог «exploit» на ссылку «C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform», что приведёт к удалению библиотеки EpSecApiLib.dll из каталога антивируса. В Linux и macos аналогичный приём можно проделать с подменой каталога на ссылку «/etc».
#! / பின் / SH
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
முடிந்ததாகக்
Более того, во многих антивирусах для Linux и macOS было выявлено использование предсказуемых имён файлов при работе с временным файлами в каталоге /tmp и /private/tmp, что могло использоваться для повышения привилегий до пользователя root.
К настоящему времени проблемы уже устранены большинством поставщиков, но примечательно, что первые уведомления о проблеме были направлены производителям ещё осенью 2018 года. Несмотря на то, что не все производители выпустили обновления, им было дано на исправление как минимум 6 месяцев, и RACK911 Labs считает, что теперь вправе раскрыть сведения об уязвимостях. Отмечается, что компания RACK911 Labs давно занимается работой по выявлению уязвимостей, но она не предполагала, что с коллегами из антивирусной индустрии будет так трудно работать из-за затягивания выпуска обновлений и игнорирования необходимости срочного устранения проблем с безопасностью.
Продукты, подверженные проблеме (свободный антивирусный пакет ClamAV в списке отсутствует):
- லினக்ஸ்
- பிட் டிஃபெண்டர் ஈர்ப்பு மண்டலம்
- கொமோடோ எண்ட்பாயிண்ட் பாதுகாப்பு
- கோப்பு சேவையக பாதுகாப்பை அமைக்கவும்
- எஃப்-செக்யூர் லினக்ஸ் பாதுகாப்பு
- காஸ்பர்ஸி எண்ட்பாயிண்ட் பாதுகாப்பு
- மெக்காஃபி எண்ட்பாயிண்ட் பாதுகாப்பு
- லினக்ஸிற்கான சோபோஸ் வைரஸ் எதிர்ப்பு
- விண்டோஸ்
- அவாஸ்ட் இலவச வைரஸ் எதிர்ப்பு
- அவிரா இலவச வைரஸ் எதிர்ப்பு
- பிட் டிஃபெண்டர் ஈர்ப்பு மண்டலம்
- கொமோடோ எண்ட்பாயிண்ட் பாதுகாப்பு
- எஃப்-பாதுகாப்பான கணினி பாதுகாப்பு
- ஃபயர்இ எண்ட்பாயிண்ட் பாதுகாப்பு
- இடைமறிப்பு எக்ஸ் (சோபோஸ்)
- காஸ்பர்ஸ்கி எண்ட்பாயிண்ட் பாதுகாப்பு
- விண்டோஸிற்கான தீம்பொருள் பைட்டுகள்
- மெக்காஃபி எண்ட்பாயிண்ட் பாதுகாப்பு
- பாண்டா குவிமாடம்
- வெப்ரூட் எங்கும் பாதுகாப்பானது
- MacOS
- சராசரி
- BitDefender மொத்த பாதுகாப்பு
- சைபர் பாதுகாப்பை அமைக்கவும்
- காஸ்பர்ஸ்கை இணைய பாதுகாப்பு
- McAfee மொத்த பாதுகாப்பு
- மைக்ரோசாஃப்ட் டிஃபென்டர் (பீட்டா)
- நார்டன் செக்யூரிட்டி
- சோபோஸ் முகப்பு
- வெப்ரூட் எங்கும் பாதுகாப்பானது
ஆதாரம்: opennet.ru