Mga mananaliksik mula sa RACK911 Labs na halos lahat ng antivirus package para sa Windows, Linux at macOS ay mahina sa mga pag-atake na nagmamanipula ng mga kundisyon ng lahi sa panahon ng pagtanggal ng mga file kung saan natukoy ang malware.
Upang magsagawa ng isang pag-atake, kailangan mong mag-upload ng isang file na kinikilala ng antivirus bilang nakakahamak (halimbawa, maaari kang gumamit ng isang pirma sa pagsubok), at pagkatapos ng isang tiyak na oras, pagkatapos makita ng antivirus ang nakakahamak na file, ngunit kaagad bago tawagan ang function. upang tanggalin ito, palitan ang direktoryo ng file na may simbolikong link. Sa Windows, upang makamit ang parehong epekto, ang pagpapalit ng direktoryo ay isinasagawa gamit ang isang directory junction. Ang problema ay halos lahat ng mga antivirus ay hindi nasuri nang maayos ang mga simbolikong link at, sa paniniwalang sila ay nagtatanggal ng isang malisyosong file, tinanggal ang file sa direktoryo kung saan itinuturo ang simbolikong link.
Sa Linux at macOS ipinapakita kung paano sa ganitong paraan maaaring tanggalin ng isang walang pribilehiyong user ang /etc/passwd o anumang iba pang file ng system, at sa Windows ang DDL library ng antivirus mismo upang harangan ang trabaho nito (sa Windows ang pag-atake ay limitado lamang sa pagtanggal mga file na kasalukuyang hindi ginagamit ng ibang mga application). Halimbawa, ang isang attacker ay maaaring lumikha ng isang "exploit" na direktoryo at i-upload ang EpSecApiLib.dll file na may pansubok na virus signature dito, at pagkatapos ay palitan ang "exploit" na direktoryo ng link na "C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security" bago ito tanggalin Platform", na hahantong sa pag-alis ng EpSecApiLib.dll library mula sa antivirus catalog. Sa Linux at macos, ang isang katulad na trick ay maaaring gawin sa pamamagitan ng pagpapalit sa direktoryo ng "/etc" na link.
#! / Bin / SH
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
habang inotifywait -m β/home/user/exploit/passwdβ | grep -m 5 βOPENβ
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
tapos
Higit pa rito, maraming antivirus program para sa Linux at macOS ang natagpuang gumagamit ng mga predictable na pangalan ng file kapag nagtatrabaho sa mga pansamantalang file sa /tmp at /private/tmp na mga direktoryo, na maaaring magamit upang mapataas ang mga pribilehiyo sa root user.
Sa ngayon, ang mga problema ay naayos na ng karamihan sa mga supplier, ngunit kapansin-pansin na ang mga unang abiso tungkol sa problema ay ipinadala sa mga tagagawa sa taglagas ng 2018. Bagama't hindi lahat ng vendor ay naglabas ng mga update, binigyan sila ng hindi bababa sa 6 na buwan upang i-patch, at naniniwala ang RACK911 Labs na libre na itong ibunyag ang mga kahinaan. Napansin na ang RACK911 Labs ay nagtatrabaho sa pagtukoy ng mga kahinaan sa loob ng mahabang panahon, ngunit hindi nito inaasahan na magiging napakahirap na makipagtulungan sa mga kasamahan mula sa industriya ng antivirus dahil sa mga pagkaantala sa pagpapalabas ng mga update at hindi pinapansin ang pangangailangang agarang ayusin ang seguridad. mga problema.
Mga apektadong produkto (ang libreng antivirus package na ClamAV ay hindi nakalista):
- Linux
- BitDefender GravityZone
- Seguridad ng Comodo Endpoint
- Eset Security ng Security ng Server
- F-Secure Linux Security
- Kaspersy Endpoint Security
- Ang Security Security ng McAfee
- Sophos Anti-Virus para sa Linux
- Windows
- Avast Libreng Anti-Virus
- Avira Free Antivirus
- BitDefender GravityZone
- Seguridad ng Comodo Endpoint
- F-Secure Proteksyon ng Computer
- FireEye Endpoint Security
- Harangin ang X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes para sa Windows
- Ang Security Security ng McAfee
- Panda simboryo
- Webroot Secure Kahit saan
- MacOS
- AVG
- Kabuuang Seguridad ng BitDefender
- Eset Cyber ββSecurity
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Kahit saan
Pinagmulan: opennet.ru