Các nhà nghiên cứu từ Phòng thí nghiệm RACK911 rằng hầu hết tất cả các gói chống vi-rút dành cho Windows, Linux và macOS đều dễ bị tấn công thao túng các điều kiện chủng tộc trong quá trình xóa các tệp phát hiện thấy phần mềm độc hại.
Để thực hiện một cuộc tấn công, bạn cần tải lên một tệp mà phần mềm chống vi-rút nhận ra là độc hại (ví dụ: bạn có thể sử dụng chữ ký kiểm tra) và sau một thời gian nhất định, sau khi phần mềm chống vi-rút phát hiện tệp độc hại, nhưng ngay trước khi gọi hàm để xóa nó, hãy thay thế thư mục bằng tệp bằng một liên kết tượng trưng. Trên Windows, để đạt được hiệu quả tương tự, việc thay thế thư mục được thực hiện bằng cách sử dụng một đường nối thư mục. Vấn đề là hầu hết tất cả các phần mềm chống vi-rút đã không kiểm tra chính xác các liên kết tượng trưng và tin rằng chúng đang xóa một tệp độc hại nên đã xóa tệp trong thư mục chứa liên kết tượng trưng.
Trong Linux và macOS, bằng cách này, người dùng không có đặc quyền có thể xóa /etc/passwd hoặc bất kỳ tệp hệ thống nào khác và trong Windows, thư viện DDL của chính phần mềm chống vi-rút để chặn hoạt động của nó (trong Windows, cuộc tấn công chỉ giới hạn ở việc xóa các tệp hiện không được các ứng dụng khác sử dụng). Ví dụ: kẻ tấn công có thể tạo thư mục “khai thác” và tải tệp EpSecApiLib.dll có chữ ký virus kiểm tra vào đó, sau đó thay thế thư mục “khai thác” bằng liên kết “C:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Security” trước khi xóa Nền tảng", điều này sẽ dẫn đến việc xóa thư viện EpSecApiLib.dll khỏi danh mục phần mềm chống vi-rút. Trong Linux và macos, một thủ thuật tương tự có thể được thực hiện bằng cách thay thế thư mục bằng liên kết “/etc”.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “MỞ”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
thực hiện
Hơn nữa, nhiều phần mềm chống vi-rút dành cho Linux và macOS bị phát hiện sử dụng tên tệp có thể dự đoán được khi làm việc với các tệp tạm thời trong thư mục /tmp và /private/tmp, những tệp này có thể được sử dụng để nâng cấp đặc quyền cho người dùng root.
Đến nay, hầu hết các nhà cung cấp đều đã khắc phục sự cố, nhưng điều đáng chú ý là thông báo đầu tiên về sự cố này đã được gửi đến các nhà sản xuất vào mùa thu năm 2018. Mặc dù không phải tất cả các nhà cung cấp đều phát hành bản cập nhật nhưng họ có ít nhất 6 tháng để vá lỗi và RACK911 Labs tin rằng giờ đây họ có thể miễn phí tiết lộ các lỗ hổng. Cần lưu ý rằng RACK911 Labs đã nghiên cứu xác định các lỗ hổng trong một thời gian dài, nhưng họ không ngờ rằng việc làm việc với các đồng nghiệp trong ngành chống vi-rút sẽ khó khăn đến vậy do sự chậm trễ trong việc phát hành các bản cập nhật và bỏ qua nhu cầu khẩn trương khắc phục bảo mật các vấn đề.
Các sản phẩm bị ảnh hưởng (gói chống vi-rút miễn phí ClamAV không được liệt kê):
- Linux
- BitDefender GravityZone
- Bảo mật điểm cuối Comodo
- Eset Bảo mật Máy chủ Tệp
- Bảo mật F-Secure Linux
- Bảo mật điểm cuối Kaspersy
- Bảo mật điểm cuối của McAfee
- Sophos Anti-Virus dành cho Linux
- Windows
- Diệt virus miễn phí
- Avira phần mềm chống virus miễn phí
- BitDefender GravityZone
- Bảo mật điểm cuối Comodo
- Bảo vệ máy tính F-Secure
- Bảo mật điểm cuối FireEye
- Đánh chặn X (Sophos)
- Bảo mật điểm cuối của Kaspersky
- Malwarebytes dành cho Windows
- Bảo mật điểm cuối của McAfee
- Mái vòm gấu trúc
- Webroot an toàn mọi nơi
- macOS
- AVG
- Bảo mật toàn diện của BitDefender
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Bộ bảo vệ Microsoft (BETA)
- Norton Security
- Trang chủ Sophos
- Webroot an toàn mọi nơi
Nguồn: opennet.ru