RACK911 實驗室的研究人員 幾乎所有適用於 Windows、Linux 和 macOS 的防毒軟體套件在刪除偵測到惡意軟體的檔案期間都容易受到操縱競爭條件的攻擊。
要進行攻擊,您需要上傳防毒軟體識別為惡意的檔案(例如,您可以使用測試簽名),並在一段時間後,在防毒軟體檢測到惡意檔案之後,但在調用該函數之前要刪除它,請將目錄替換為帶有符號連結的檔案。 在 Windows 上,為了達到相同的效果,可以使用目錄連線執行目錄替換。 問題在於,幾乎所有防毒軟體都沒有正確檢查符號鏈接,並認為它們正在刪除惡意文件,從而刪除了符號鏈接指向的目錄中的文件。
在Linux 和macOS 中,展示了非特權使用者如何透過這種方式刪除/etc/passwd 或任何其他系統文件,並在Windows 中使用防毒本身的DDL 庫來阻止其工作(在Windows 中,攻擊僅限於刪除其他應用程式目前未使用的檔案)。 例如,攻擊者可以建立一個「exploit」目錄,並將帶有測試病毒簽名的 EpSecApiLib.dll 檔案上傳到其中,然後用連結「C:\Program Files (x86)\McAfee\」取代「exploit」目錄。 Endpoint Security\Endpoint Security”,然後刪除它平台”,這將導致從防毒目錄中刪除EpSecApiLib.dll 庫。 在 Linux 和 Macos 中,可以透過用「/etc」連結取代目錄來完成類似的技巧。
#/ bin / sh的
rm -rf /home/user/exploit ; mkdir /home/用戶/利用/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
而 inotifywait -m “/home/user/exploit/passwd”| grep -m 5 “開啟”
do
rm -rf /home/user/exploit ; ln -s /etc /home/用戶/漏洞利用
完成
此外,許多 Linux 和 macOS 防毒軟體在處理 /tmp 和 /private/tmp 目錄中的暫存檔案時,會使用可預測的檔案名,這可用於將權限升級到 root 使用者。
目前,大多數供應商已經解決了這些問題,但值得注意的是,有關該問題的第一批通知是在 2018 年秋季發送給製造商的。 儘管並非所有供應商都發布了更新,但他們至少有 6 個月的時間來修補,RACK911 實驗室認為現在可以自由地揭露這些漏洞。 值得注意的是,RACK911實驗室長期以來一直致力於漏洞識別,但沒想到由於延遲發布更新以及忽視緊急修復安全的需要,與防毒產業的同事合作變得如此困難問題。
受影響的產品(免費防毒包ClamAV未列出):
- Linux
- BitDefender 重力區
- Comodo端點安全
- Eset文件服務器安全性
- F-Secure Linux安全性
- Kaspersy端點安全
- 邁克菲端點安全
- 適用於Linux的Sophos Anti-Virus
- Windows
- Avast 免費殺毒軟件
- Avira 免費殺毒軟件
- BitDefender 重力區
- Comodo端點安全
- F-安全計算機保護
- FireEye端點安全
- 截獲X(Sophos)
- 卡巴斯基端點安全
- Windows的Malwarebytes
- 邁克菲端點安全
- 熊貓巨蛋
- Webroot無處不在
- MacOS
- AVG
- BitDefender全面安全
- Eset網絡安全
- 卡巴斯基互聯網安全套裝
- McAfee Total Protection
- 微軟後衛(BETA)
- 諾頓安全
- Sophos Home
- Webroot無處不在
來源: opennet.ru