Повечето антивирусни програми могат да бъдат деактивирани чрез символни връзки

Darkcrizt

4 Minutos

избягване-антивирусен софтуер

Вчера, RACK911 Изследователи в лаборатории, споделямn в техния блог, публикация, в която те пуснаха част от неговите изследвания, показващи, че почти всички пакетите на антивирусните за Windows, Linux и macOS бяха уязвими за атаки, които манипулират състезателни условия, като същевременно премахват файлове, съдържащи зловреден софтуер.

В публикацията си покажете, че за да извършите атака, трябва да изтеглите файл че антивирусната програма разпознава като злонамерена (например може да се използва тестов подпис) и след определено време, след като антивирусната програма открие злонамерения файл  непосредствено преди да извика функцията, за да я премахне, файлът действа, за да направи определени промени.

Това, което повечето антивирусни програми не вземат предвид, е малкият интервал от време между първоначалното сканиране на файла, който открива злонамерения файл, и операцията за почистване, която се извършва веднага след това.

Лошият локален потребител или авторът на злонамерен софтуер често може да изпълни състезателно състояние чрез кръстовище на директории (Windows) или символна връзка (Linux и macOS), което се възползва от привилегированите файлови операции, за да деактивира антивирусния софтуер или да пречи на операционната система да го обработва.

В Windows се прави промяна в директорията с помощта на присъединяване към директория. докато на Linux и Macos, може да се направи подобен трик промяна на директорията на "/ etc" връзка.

Проблемът е, че почти всички антивирусни програми не провериха правилно символните връзки и като се има предвид, че изтриваха злонамерен файл, те изтриха файла в директорията, посочена от символната връзка.

На Linux и macOS се показва как по този начин потребител без привилегии можете да премахнете / etc / passwd или друг системен файл а в Windows DDL библиотеката на антивируса, за да блокира неговата работа (в Windows атаката е ограничена само чрез изтриване на файлове, които други потребители в момента не използват) приложения).

Например, нападателят може да създаде експлойт директория и да зареди файла EpSecApiLib.dll с тестовия подпис на вируса и след това да замени директорията на експлойти със символната връзка, преди да деинсталира платформата, която ще премахне библиотеката EpSecApiLib.dll от директорията. Антивирус.

Освен това, много антивируси за Linux и macOS разкриха използването на предвидими имена на файлове при работа с временни файлове в директорията / tmp и / private tmp, които могат да се използват за увеличаване на привилегиите за основния потребител.

Към днешна дата повечето доставчици вече са отстранили проблемите, Но трябва да се отбележи, че първите известия за проблема бяха изпратени на разработчиците през есента на 2018 г.

В нашите тестове за Windows, macOS и Linux успяхме лесно да премахнем важни свързани с антивируса файлове, които го направиха неефективен и дори да премахнем ключови файлове на операционната система, които биха причинили значителна корупция, която ще изисква пълно преинсталиране на операционната система.

Въпреки че не всички пуснаха актуализациите, те получиха поправка за поне 6 месеца и RACK911 Labs вярва, че сега имате право да разкривате информация за уязвимости.

Отбелязва се, че лабораториите RACK911 работят по идентифициране на уязвимости от дълго време, но не са очаквали, че ще бъде толкова трудно да се работи с колеги в антивирусната индустрия поради забавено издаване на актуализации и игнориране на необходимостта от спешно отстраняване на проблеми със сигурността .

От продуктите, засегнати от този проблем, са споменати към следното:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Защита на файловия сървър на Eset
  • F-Secure Linux сигурност
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus за Linux

Windows

  • Безплатна антивирусна програма Avast
  • Безплатна антивирусна програма Avira
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure защита на компютъра
  • Защита на крайната точка на FireEye
  • Прихващане X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes за Windows
  • McAfee Endpoint Security
  • Купол Панда
  • Webroot Secure навсякъде

MacOS

  • AVG
  • Обща сигурност на BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (БЕТА)
  • Северна сигурност
  • Sophos Home
  • Webroot Secure навсякъде

Fuente: https://www.rack911labs.com


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   гилермоиван каза той
    hace 4 година

    най-поразителното ... е как в момента се разпространява ramsomware и че разработчиците на AV отнемат 6 месеца, за да внедрят корекция ...

    Отговорете на guillermoivan