RACK911 实验室的研究人员 几乎所有杀毒软件都存在这个问题 Windows, Linux и macOS 在删除包含恶意软件的文件时,容易受到操纵竞争条件的攻击。
要进行攻击,你需要下载一个被杀毒软件识别为恶意的文件(例如,你可以使用测试签名),然后在一段时间后,在杀毒软件检测到恶意文件之后,但在调用删除该文件的函数之前,将该目录替换为符号链接。 Windows 为了达到同样的效果,可以使用目录连接点来替换目录。问题在于,几乎所有杀毒软件都无法正确检查符号链接,它们误以为正在删除恶意文件,从而删除了符号链接指向的目录中的文件。
В Linux и macOS 文中展示了非特权用户如何通过这种方式删除 /etc/passwd 或任何其他系统文件。 Windows 使用反病毒软件自身的 DDL 库来阻止其运行(在 Windows 该攻击仅限于删除当前未被其他应用程序使用的文件。例如,攻击者可以创建一个名为“exploit”的目录,并将带有测试病毒特征码的 EpSecApiLib.dll 文件上传到该目录。在删除该文件之前,攻击者可以将“exploit”目录替换为指向“C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”的链接,从而从防病毒目录中删除 EpSecApiLib.dll 库文件。 Linux 在 MacOS 中,也可以通过将目录替换为链接“/etc”来实现类似的功能。
#!/ bin / sh的
rm -rf /home/user/exploit ; mkdir /home/用户/利用/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
而 inotifywait -m “/home/user/exploit/passwd”| grep -m 5 “打开”
do
rm -rf /home/user/exploit ; ln -s /etc /home/用户/漏洞利用
完成
此外,许多杀毒程序 Linux и macOS 检测到在处理 /tmp 和 /private/tmp 目录中的临时文件时使用了可预测的文件名,这可用于将权限提升到 root 用户。
目前,大多数供应商已经解决了这些问题,但值得注意的是,有关该问题的第一批通知是在 2018 年秋季发送给制造商的。 尽管并非所有供应商都发布了更新,但他们至少有 6 个月的时间来修补,RACK911 实验室认为现在可以自由地披露这些漏洞。 值得注意的是,RACK911实验室长期以来一直致力于漏洞识别,但没想到由于延迟发布更新以及忽视紧急修复安全的需要,与反病毒行业的同事合作变得如此困难问题。
受影响的产品(免费防病毒包ClamAV未列出):
- Linux
- BitDefender 重力区
- Comodo端点安全
- Eset文件服务器安全性
- F-Secure公司 Linux 安保防护
- Kaspersy端点安全
- 迈克菲端点安全
- Sophos 防病毒软件 Linux
- Windows
- Avast 免费杀毒软件
- Avira 免费杀毒软件
- BitDefender 重力区
- Comodo端点安全
- F-安全计算机保护
- FireEye端点安全
- 截获X(Sophos)
- 卡巴斯基端点安全
- 恶意软件字节 Windows
- 迈克菲端点安全
- 熊猫巨蛋
- Webroot 安全无处不在
- macOS
- AVG
- BitDefender全面安全
- Eset网络安全
- 卡巴斯基互联网安全套装
- 了McAfee Total Protection
- 微软后卫(BETA)
- 诺顿安全
- Sophos Home
- Webroot 安全无处不在
来源: opennet.ru
