Дослідники з компанії RACK911 Labs на те, що майже всі антивірусні пакети для Windows, Linux і macOS були вразливими для атак, що маніпулюють станом гонки (race conditions) під час видалення файлів, в яких виявлено шкідливе програмне забезпечення.
Для проведення атаки необхідно завантажити файл, який антивірус розпізнає як шкідливий (наприклад, можна використовувати тестову сигнатуру), а через певний час, після виявлення шкідливого файлу антивірусом, але безпосередньо перед викликом функції його видалення, підмінити каталог з файлом символічним посиланням. У Windows для досягнення того ж ефекту виконується заміна каталогу за допомогою точки з'єднання (directory junction). Проблема в тому, майже всі антивіруси належним чином не виконували перевірку символічних посилань і, вважаючи, що видаляють шкідливий файл, видаляли файл у каталозі, на який вказує символічне посилання.
У Linux і macOS показано як у такий спосіб непривілейований користувач може видалити /etc/passwd або будь-який інший системний файл, а в Windows DDL-бібліотеку самого антивіруса для блокування його роботи (у Windows атака обмежена лише видаленням файлів, які в даний момент не використовуються іншими додатками). Наприклад, атакуючий може створити каталог «exploit» і завантажити в нього файл EpSecApiLib.dll з тестовою сигнатурою вірусу, після чого перед видаленням замінити каталог «exploit» на посилання «C: Program Files (x86) McAfee Endpoint Security Endpoint Security Platform», що призведе до видалення бібліотеки EpSecApiLib.dll із каталогу антивіруса. У Linux і macos аналогічний прийом можна зробити з заміною каталогу на посилання "/ etc".
#! / Bin / ш
rm -rf /home/user/exploit; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit; ln -s /etc /home/user/exploit
зроблений
Більш того, у багатьох антивірусах для Linux і macOS було виявлено використання передбачуваних імен файлів під час роботи з тимчасовими файлами в каталозі /tmp та /private/tmp, що могло використовуватися для підвищення привілеїв користувача root.
Наразі проблеми вже усунуті більшістю постачальників, але примітно, що перші повідомлення про проблему були надіслані виробникам ще восени 2018 року. Незважаючи на те, що не всі виробники випустили оновлення, їм було дано на виправлення як мінімум 6 місяців, і RACK911 Labs вважає, що тепер має право розкрити відомості про вразливість. Наголошується, що компанія RACK911 Labs давно займається роботою з виявлення вразливостей, але вона не припускала, що з колегами з антивірусної індустрії буде так важко працювати через затягування випуску оновлень та ігнорування необхідності термінового усунення проблем безпеки.
Продукти, схильні до проблеми (вільний антивірусний пакет ClamAV у списку відсутній):
- Linux
- BitDefender GravityZone
- Захист кінцевої точки Comodo
- Захист файлового сервера Eset
- Безпека F-Secure Linux
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Антивірус Sophos для Linux
- Windows
- Безкоштовний антивірус Avast
- Безкоштовний антивірус Avira
- BitDefender GravityZone
- Захист кінцевої точки Comodo
- Захист комп’ютера F-Secure
- Захист кінцевої точки FireEye
- Перехоплення X (Софос)
- Кінцева точка безпеки Касперського
- Malwarebytes для Windows
- McAfee Endpoint Security
- Купол Панда
- Webroot безпечний будь-де
- MacOS
- AVG
- Повна безпека BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (БЕТА)
- Нортон Безпека
- Sophos Home
- Webroot безпечний будь-де
Джерело: opennet.ru