RACK911 Laboratuvarlarından araştırmacılar Windows, Linux ve macOS için neredeyse tüm antivirüs paketlerinin, kötü amaçlı yazılımın tespit edildiği dosyaların silinmesi sırasında yarış koşullarını değiştiren saldırılara karşı savunmasız olduğu görüldü.
Bir saldırı gerçekleştirmek için, antivirüsün kötü amaçlı olarak tanıdığı bir dosyayı yüklemeniz gerekir (örneğin, bir test imzası kullanabilirsiniz) ve belirli bir süre sonra, antivirüs kötü amaçlı dosyayı algıladıktan sonra, ancak işlevi çağırmadan hemen önce. silmek için dizini sembolik bir bağlantıya sahip dosyayla değiştirin. Windows'ta aynı etkiyi elde etmek için dizin değiştirme, bir dizin bağlantısı kullanılarak gerçekleştirilir. Sorun, neredeyse tüm antivirüs programlarının sembolik bağlantıları düzgün bir şekilde kontrol etmemesi ve kötü amaçlı bir dosyayı sildiklerine inanarak, sembolik bağlantının işaret ettiği dizindeki dosyayı silmesidir.
Linux ve macOS'ta, ayrıcalığı olmayan bir kullanıcının /etc/passwd veya başka herhangi bir sistem dosyasını bu şekilde nasıl silebileceği ve Windows'ta antivirüsün kendisinin DDL kütüphanesinin çalışmasını engelleyebileceği gösterilmiştir (Windows'ta saldırı yalnızca silme ile sınırlıdır) Şu anda başka uygulamalar tarafından kullanılmayan dosyalar). Örneğin, bir saldırgan bir "exploit" dizini oluşturabilir ve EpSecApiLib.dll dosyasını test virüsü imzasıyla bu dizine yükleyebilir ve ardından "exploit" dizinini "C:\Program Files (x86)\McAfee\" bağlantısıyla değiştirebilir. Endpoint Security\Endpoint Security” Platformunu silmeden önce bu, EpSecApiLib.dll kütüphanesinin antivirüs kataloğundan kaldırılmasına yol açacaktır. Linux ve MacOS'ta, dizini "/etc" bağlantısıyla değiştirerek benzer bir numara yapılabilir.
#! / Bin / sh
rm -rf /ev/kullanıcı/istismar; mkdir /ev/kullanıcı/istismar/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “AÇIK”
do
rm -rf /ev/kullanıcı/istismar; ln -s /etc /home/user/exploit
yapılmış
Ayrıca, Linux ve macOS'a yönelik pek çok antivirüsün, /tmp ve /private/tmp dizinindeki geçici dosyalarla çalışırken, ayrıcalıkları kök kullanıcıya yükseltmek için kullanılabilecek öngörülebilir dosya adları kullandığı tespit edildi.
Şu ana kadar çoğu tedarikçi tarafından sorunlar giderildi ancak sorunla ilgili ilk bildirimlerin üreticilere 2018 sonbaharında gönderildiği dikkat çekiyor. Her ne kadar satıcılar güncellemeleri yayınlamamış olsa da, yama yapmaları için onlara en az 6 ay süre verildi ve RACK911 Labs, güvenlik açıklarını açıklamanın artık ücretsiz olduğuna inanıyor. RACK911 Labs'ın uzun süredir güvenlik açıklarını tespit etmeye çalıştığı ancak güncellemelerin yayınlanmasındaki gecikmeler ve güvenliğin acilen düzeltilmesi ihtiyacının göz ardı edilmesi nedeniyle antivirüs sektöründeki meslektaşlarıyla çalışmanın bu kadar zor olacağını beklemediği kaydedildi. sorunlar.
Etkilenen ürünler (ücretsiz antivirüs paketi ClamAV listede yer almamaktadır):
- Linux
- BitDefender Yerçekimi Bölgesi
- Comodo Uç Nokta Güvenliği
- Eset Dosya Sunucusu Güvenliği
- F-Secure Linux Güvenliği
- Kaspersy Uç Nokta Güvenliği
- McAfee Uç Nokta Güvenliği
- Linux için Sophos Anti-Virus
- Windows
- Avast Ücretsiz Anti-Virüs
- Avira bedava Antivirüs
- BitDefender Yerçekimi Bölgesi
- Comodo Uç Nokta Güvenliği
- F-Secure Bilgisayar Koruması
- FireEye Uç Nokta Güvenliği
- X'i Kesmek (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes Windows için
- McAfee Uç Nokta Güvenliği
- Panda kubbesi
- Webroot Güvenli Her Yerde
- macOS
- AVG
- BitDefender Toplam Güvenlik
- Eset Siber Güvenlik
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender'ın (BETA)
- Norton Güvenliği
- Sophos Ana Sayfa
- Webroot Güvenli Her Yerde
Kaynak: opennet.ru