RACK911 实验室的研究人员
要进行攻击,您需要上传防病毒软件识别为恶意的文件(例如,您可以使用测试签名),并在一段时间后,在防病毒软件检测到恶意文件之后,但在调用该函数之前要删除它,请将目录替换为带有符号链接的文件。 在 Windows 上,为了达到相同的效果,可以使用目录连接执行目录替换。 问题在于,几乎所有防病毒软件都没有正确检查符号链接,并认为它们正在删除恶意文件,从而删除了符号链接指向的目录中的文件。
在 Linux 和 macOS 中,展示了非特权用户如何通过这种方式删除 /etc/passwd 或任何其他系统文件,并在 Windows 中使用防病毒本身的 DDL 库来阻止其工作(在 Windows 中,攻击仅限于删除其他应用程序当前未使用的文件)。 例如,攻击者可以创建一个“exploit”目录,并将带有测试病毒签名的 EpSecApiLib.dll 文件上传到其中,然后用链接“C:\Program Files (x86)\McAfee\”替换“exploit”目录。 Endpoint Security\Endpoint Security”,然后删除它平台”,这将导致从防病毒目录中删除 EpSecApiLib.dll 库。 在 Linux 和 Macos 中,可以通过用“/etc”链接替换目录来完成类似的技巧。
#!/ bin / sh的
rm -rf /home/user/exploit ; mkdir /home/用户/利用/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
而 inotifywait -m “/home/user/exploit/passwd”| grep -m 5 “打开”
do
rm -rf /home/user/exploit ; ln -s /etc /home/用户/漏洞利用
完成
此外,许多 Linux 和 macOS 防病毒软件在处理 /tmp 和 /private/tmp 目录中的临时文件时,会使用可预测的文件名,这可用于将权限升级到 root 用户。
目前,大多数供应商已经解决了这些问题,但值得注意的是,有关该问题的第一批通知是在 2018 年秋季发送给制造商的。 尽管并非所有供应商都发布了更新,但他们至少有 6 个月的时间来修补,RACK911 实验室认为现在可以自由地披露这些漏洞。 值得注意的是,RACK911实验室长期以来一直致力于漏洞识别,但没想到由于延迟发布更新以及忽视紧急修复安全的需要,与反病毒行业的同事合作变得如此困难问题。
受影响的产品(免费防病毒包ClamAV未列出):
- Linux
- BitDefender 重力区
- Comodo端点安全
- Eset文件服务器安全性
- F-Secure Linux安全性
- Kaspersy端点安全
- 迈克菲端点安全
- 适用于Linux的Sophos Anti-Virus
- Windows
- Avast 免费杀毒软件
- Avira 免费杀毒软件
- BitDefender 重力区
- Comodo端点安全
- F-安全计算机保护
- FireEye端点安全
- 截获X(Sophos)
- 卡巴斯基端点安全
- Windows的Malwarebytes
- 迈克菲端点安全
- 熊猫巨蛋
- Webroot 安全无处不在
- macos
- AVG
- BitDefender全面安全
- Eset网络安全
- 卡巴斯基互联网安全套装
- 了McAfee Total Protection
- 微软后卫(BETA)
- 诺顿安全
- Sophos Home
- Webroot 安全无处不在
来源: opennet.ru