RACK911 實驗室的研究人員
要進行攻擊,您需要上傳防毒軟體識別為惡意的檔案(例如,您可以使用測試簽名),並在一段時間後,在防毒軟體檢測到惡意檔案之後,但在調用該函數之前要刪除它,請將目錄替換為帶有符號連結的檔案。 在 Windows 上,為了達到相同的效果,可以使用目錄連線執行目錄替換。 問題在於,幾乎所有防毒軟體都沒有正確檢查符號鏈接,並認為它們正在刪除惡意文件,從而刪除了符號鏈接指向的目錄中的文件。
在Linux 和macOS 中,展示了非特權使用者如何透過這種方式刪除/etc/passwd 或任何其他系統文件,並在Windows 中使用防毒本身的DDL 庫來阻止其工作(在Windows 中,攻擊僅限於刪除其他應用程式目前未使用的檔案)。 例如,攻擊者可以建立一個「exploit」目錄,並將帶有測試病毒簽名的 EpSecApiLib.dll 檔案上傳到其中,然後用連結「C:\Program Files (x86)\McAfee\」取代「exploit」目錄。 Endpoint Security\Endpoint Security”,然後刪除它平台”,這將導致從防毒目錄中刪除EpSecApiLib.dll 庫。 在 Linux 和 Macos 中,可以透過用「/etc」連結取代目錄來完成類似的技巧。
#/ bin / sh的
rm -rf /home/user/exploit ; mkdir /home/用戶/利用/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
而 inotifywait -m “/home/user/exploit/passwd”| grep -m 5 “開啟”
do
rm -rf /home/user/exploit ; ln -s /etc /home/用戶/漏洞利用
完成
此外,許多 Linux 和 macOS 防毒軟體在處理 /tmp 和 /private/tmp 目錄中的暫存檔案時,會使用可預測的檔案名,這可用於將權限升級到 root 使用者。
目前,大多數供應商已經解決了這些問題,但值得注意的是,有關該問題的第一批通知是在 2018 年秋季發送給製造商的。 儘管並非所有供應商都發布了更新,但他們至少有 6 個月的時間來修補,RACK911 實驗室認為現在可以自由地揭露這些漏洞。 值得注意的是,RACK911實驗室長期以來一直致力於漏洞識別,但沒想到由於延遲發布更新以及忽視緊急修復安全的需要,與防毒產業的同事合作變得如此困難問題。
受影響的產品(免費防毒包ClamAV未列出):
- Linux
- BitDefender 重力區
- Comodo端點安全
- Eset文件服務器安全性
- F-Secure Linux安全性
- Kaspersy端點安全
- 邁克菲端點安全
- 適用於Linux的Sophos Anti-Virus
- Windows
- Avast 免費殺毒軟件
- Avira 免費殺毒軟件
- BitDefender 重力區
- Comodo端點安全
- F-安全計算機保護
- FireEye端點安全
- 截獲X(Sophos)
- 卡巴斯基端點安全
- Windows的Malwarebytes
- 邁克菲端點安全
- 熊貓巨蛋
- Webroot無處不在
- MacOS
- AVG
- BitDefender全面安全
- Eset網絡安全
- 卡巴斯基互聯網安全套裝
- McAfee Total Protection
- 微軟後衛(BETA)
- 諾頓安全
- Sophos Home
- Webroot無處不在
來源: opennet.ru