أمس ، باحثو مختبرات RACK911 ، أشاركهمn على مدونتهم ، وهي مشاركة قاموا بنشرها يظهر جزء من بحثه أن كل شيء تقريبًا حزم كانت برامج مكافحة الفيروسات لأنظمة التشغيل Windows و Linux و macOS ضعيفة للهجمات التي تتلاعب بظروف السباق أثناء إزالة الملفات التي تحتوي على برامج ضارة.
في رسالتك أظهر أنه لتنفيذ هجوم ، تحتاج إلى تنزيل ملف أن برنامج مكافحة الفيروسات يتعرف على أنه ضار (على سبيل المثال ، يمكن استخدام توقيع اختبار) و بعد وقت معين ، بعد أن يكتشف برنامج مكافحة الفيروسات الملف الضار مباشرة قبل استدعاء الوظيفة لإزالتها ، يعمل الملف لإجراء تغييرات معينة.
ما لا تأخذه معظم برامج مكافحة الفيروسات في الاعتبار هو الفاصل الزمني الصغير بين الفحص الأولي للملف الذي يكتشف الملف الضار وعملية التنظيف التي يتم إجراؤها بعد ذلك مباشرة.
غالبًا ما يمكن لمستخدم محلي ضار أو مؤلف برنامج ضار تنفيذ حالة سباق عبر وصلة دليل (Windows) أو رابط رمزي (Linux و macOS) يستفيد من عمليات الملفات المميزة لتعطيل برنامج مكافحة الفيروسات أو التدخل مع نظام التشغيل لمعالجتها.
في Windows يتم إجراء تغيير الدليل باستخدام صلة دليل. في حين على Linux و Macos ، يمكن عمل خدعة مماثلة تغيير الدليل إلى رابط "/ etc".
تكمن المشكلة في أن جميع برامج مكافحة الفيروسات تقريبًا لم تتحقق من الروابط الرمزية بشكل صحيح وبالنظر إلى أنهم كانوا يحذفون ملفًا ضارًا ، فقد قاموا بحذف الملف في الدليل المشار إليه بالرابط الرمزي.
يظهر على Linux و macOS كيف بهذه الطريقة مستخدم بدون امتيازات يمكنك إزالة / etc / passwd أو أي ملف آخر من النظام وفي Windows ، مكتبة DDL لمكافحة الفيروسات لمنع تشغيلها (في Windows ، يقتصر الهجوم فقط على حذف الملفات التي لا يستخدمها المستخدمون الآخرون حاليًا) التطبيقات).
على سبيل المثال ، يمكن للمهاجم إنشاء دليل مآثر وتحميل ملف EpSecApiLib.dll بتوقيع اختبار الفيروس ثم استبدال دليل الاستغلال بالرابط الرمزي قبل إلغاء تثبيت النظام الأساسي الذي سيؤدي إلى إزالة مكتبة EpSecApiLib.dll من الدليل. مضاد للفيروسات.
وبالإضافة إلى ذلك، كشفت العديد من برامج مكافحة الفيروسات لنظامي Linux و macOS عن استخدام أسماء ملفات يمكن التنبؤ بها عند العمل مع الملفات المؤقتة في الدليل / tmp و / private tmp ، والتي يمكن استخدامها لزيادة الامتيازات للمستخدم الجذر.
حتى الآن ، قضى معظم مقدمي الخدمة بالفعل على المشكلات ، لكن تجدر الإشارة إلى أنه تم إرسال الإخطارات الأولى بالمشكلة إلى المطورين في خريف عام 2018.
في اختباراتنا على أنظمة التشغيل Windows و macOS و Linux ، تمكنا بسهولة من إزالة الملفات المهمة المتعلقة بمكافحة الفيروسات والتي جعلتها غير فعالة ، وحتى إزالة ملفات نظام التشغيل الرئيسية التي قد تتسبب في تلف كبير يتطلب إعادة تثبيت كاملة لنظام التشغيل.
على الرغم من عدم قيام الجميع بإصدار التحديثات ، فقد تلقوا إصلاحًا لمدة 6 أشهر على الأقل ، وتعتقد RACK911 Labs أن لديك الآن الحق في الكشف عن معلومات حول نقاط الضعف.
وتجدر الإشارة إلى أن مختبرات RACK911 تعمل على تحديد نقاط الضعف لفترة طويلة ، لكنها لم تتوقع أنه سيكون من الصعب للغاية العمل مع الزملاء في صناعة مكافحة الفيروسات بسبب تأخر إصدار التحديثات وتجاهل الحاجة إلى إصلاح مشكلات الأمان بشكل عاجل.
من المنتجات التي تتأثر بهذه المشكلة مذكورة الى الآتى \ الى القادم \ الى الم:
لينكس
- بيتدفندر جرافيتي زون
- أمان نقطة النهاية كمودو
- أمان خادم ملف Eset
- أمان F-Secure Linux
- برنامج Kaspersy Endpoint Security
- أمان مكافي إندبوينت
- برنامج Sophos Anti-Virus لنظام التشغيل Linux
Windows
- آفاست مكافح فيروسات مجاني
- برنامج Avira Free Anti-Virus
- بيتدفندر جرافيتي زون
- أمان نقطة النهاية كمودو
- F-Secure حماية الكمبيوتر
- أمان نقطة نهاية FireEye
- اعتراض X (سوفوس)
- برنامج Kaspersky Endpoint Security
- Malwarebytes لنظام التشغيل Windows
- أمان مكافي إندبوينت
- قبة الباندا
- Webroot Secure في أي مكان
ماك
- AVG
- برنامج بيتدفندر للأمن الشامل
- Eset Cyber Security
- كاسبرسكي لأمن الإنترنت
- McAfee Total Protection
- Microsoft Defender (إصدار تجريبي)
- الأمن نورتون
- سوفوس الرئيسية
- Webroot Secure في أي مكان
مصدر: https://www.rack911labs.com
الأمر الأكثر لفتًا للانتباه ... هو كيفية انتشار ramsomware حاليًا وأن مطوري AV يستغرقون 6 أشهر لتطبيق التصحيح ...