RACK911 实验室的研究人员 几乎所有适用于 Windows、Linux 和 macOS 的防病毒软件包在删除检测到恶意软件的文件期间都容易受到操纵竞争条件的攻击。
要进行攻击,您需要上传防病毒软件识别为恶意的文件(例如,您可以使用测试签名),并在一段时间后,在防病毒软件检测到恶意文件之后,但在调用该函数之前要删除它,请将目录替换为带有符号链接的文件。 在 Windows 上,为了达到相同的效果,可以使用目录连接执行目录替换。 问题在于,几乎所有防病毒软件都没有正确检查符号链接,并认为它们正在删除恶意文件,从而删除了符号链接指向的目录中的文件。
在 Linux 和 macOS 中,展示了非特权用户如何通过这种方式删除 /etc/passwd 或任何其他系统文件,并在 Windows 中使用防病毒本身的 DDL 库来阻止其工作(在 Windows 中,攻击仅限于删除其他应用程序当前未使用的文件)。 例如,攻击者可以创建一个“exploit”目录,并将带有测试病毒签名的 EpSecApiLib.dll 文件上传到其中,然后用链接“C:\Program Files (x86)\McAfee\”替换“exploit”目录。 Endpoint Security\Endpoint Security”,然后删除它平台”,这将导致从防病毒目录中删除 EpSecApiLib.dll 库。 在 Linux 和 Macos 中,可以通过用“/etc”链接替换目录来完成类似的技巧。
#!/ bin / sh的
rm -rf /home/user/exploit ; mkdir /home/用户/利用/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
而 inotifywait -m “/home/user/exploit/passwd”| grep -m 5 “打开”
do
rm -rf /home/user/exploit ; ln -s /etc /home/用户/漏洞利用
完成
此外,许多 Linux 和 macOS 防病毒软件在处理 /tmp 和 /private/tmp 目录中的临时文件时,会使用可预测的文件名,这可用于将权限升级到 root 用户。
目前,大多数供应商已经解决了这些问题,但值得注意的是,有关该问题的第一批通知是在 2018 年秋季发送给制造商的。 尽管并非所有供应商都发布了更新,但他们至少有 6 个月的时间来修补,RACK911 实验室认为现在可以自由地披露这些漏洞。 值得注意的是,RACK911实验室长期以来一直致力于漏洞识别,但没想到由于延迟发布更新以及忽视紧急修复安全的需要,与反病毒行业的同事合作变得如此困难问题。
受影响的产品(免费防病毒包ClamAV未列出):
- Linux
- BitDefender 重力区
- Comodo端点安全
- Eset文件服务器安全性
- F-Secure Linux安全性
- Kaspersy端点安全
- 迈克菲端点安全
- 适用于Linux的Sophos Anti-Virus
- Windows
- Avast 免费杀毒软件
- Avira 免费杀毒软件
- BitDefender 重力区
- Comodo端点安全
- F-安全计算机保护
- FireEye端点安全
- 截获X(Sophos)
- 卡巴斯基端点安全
- Windows的Malwarebytes
- 迈克菲端点安全
- 熊猫巨蛋
- Webroot 安全无处不在
- macos
- AVG
- BitDefender全面安全
- Eset网络安全
- 卡巴斯基互联网安全套装
- 了McAfee Total Protection
- 微软后卫(BETA)
- 诺顿安全
- Sophos Home
- Webroot 安全无处不在
来源: opennet.ru