Većina antivirusa može se onemogućiti simboličkim vezama

Darkcrizt

4 minuta

izbjegavanje-antivirusni softver

Jučer je RACK911 Istraživači laboratorija, dijelimn na svom blogu, objavi u kojoj su objavili dio njegovog istraživanja pokazuje da gotovo sve paketi od antivirusni programi za Windows, Linux i macOS bili su ranjivi na napade koji manipuliraju rasnim uvjetima dok uklanjaju datoteke koje sadrže malware.

U svom postu pokazuju da za izvođenje napada trebate preuzeti datoteku da antivirus prepoznaje kao zlonamjeran (na primjer, test test se može koristiti) i nakon određenog vremena, nakon što antivirus otkrije zlonamjernu datoteku  neposredno prije poziva funkcije da je ukloni, datoteka djeluje na način da izvrši određene promjene.

Ono što većina antivirusnih programa ne uzima u obzir je mali vremenski interval između početnog skeniranja datoteke koja otkriva zlonamjernu datoteku i operacije čišćenja koja se izvodi odmah nakon toga.

Zlonamjerni lokalni korisnik ili autor zlonamjernog softvera često može izvesti uvjete trke putem spoja direktorija (Windows) ili simboličke veze (Linux i macOS) koja koristi privilegirane operacije datoteka da onemogući antivirusni softver ili ometa operativni sistem da ga obradi.

U sustavu Windows izvršena je promjena direktorija pomoću direktorija join. Dok na Linuxu i Macosu, možete napraviti sličan trik promjena direktorija u vezu "/ etc".

Problem je u tome što gotovo svi antivirusi nisu pravilno provjerili simboličke veze, a s obzirom na to da su brisali zlonamernu datoteku, izbrisali su datoteku u direktorijumu označenom simboličkom vezom.

Na Linuxu i macOS-u se to pokazuje kako na ovaj način korisnik bez privilegija možete ukloniti / etc / passwd ili bilo koju drugu datoteku iz sistema a u sustavu Windows DDL biblioteka antivirusa da blokira njegov rad (u sustavu Windows napad je ograničen samo brisanjem datoteka koje drugi korisnici trenutno ne koriste).

Na primjer, napadač može stvoriti direktorij exploits i učitati datoteku EpSecApiLib.dll potpisom testa virusa, a zatim zamijeniti direktorij exploits simboličkom vezom prije deinstalacije platforme koja će ukloniti biblioteku EpSecApiLib.dll iz direktorija. Antivirus.

Takođe, mnogi antivirusni programi za Linux i macOS otkrili su upotrebu predvidivih imena datoteka kada radite s privremenim datotekama u / tmp i / private tmp direktorijumu, što se može koristiti za povećanje privilegija za root korisnika.

Do danas je većina pružatelja usluga već uklonila probleme, Ali treba napomenuti da su prva obavještenja o problemu programerima poslana u jesen 2018. godine.

U našim testovima na Windowsima, macOS-ima i Linuxu uspjeli smo lako ukloniti važne datoteke povezane s antivirusima zbog kojih je učinio neučinkovite, pa čak i ključne datoteke operativnog sistema koje bi uzrokovale značajnu korupciju koja bi zahtijevala potpunu ponovnu instalaciju operativnog sistema.

Iako nisu svi objavili ažuriranja, primili su popravak najmanje 6 mjeseci, a RACK911 Labs vjeruje da sada imate pravo na otkrivanje informacija o ranjivostima.

Napominje se da laboratorij RACK911 već dugo radi na identifikaciji ranjivosti, ali nije predvidio da će biti toliko teško surađivati ​​s kolegama u antivirusnoj industriji zbog odgođenog izdavanja ispravki i ignoriranja potrebe za hitnim rješavanjem sigurnosnih problema.

Od proizvoda koji su pogođeni ovim problemom se spominju na sljedeće:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset Sigurnost poslužitelja datoteka
  • F-sigurna Linux sigurnost
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus za Linux

Windows

  • Besplatni antivirusni program Avast
  • Besplatni antivirusni virus Avira
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-sigurna zaštita računara
  • FireEye Endpoint Security
  • Presretanje X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes za Windows
  • McAfee Endpoint Security
  • Panda kupola
  • Webroot siguran bilo gdje

MacOS

  • AVG
  • BitDefender potpuna sigurnost
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot siguran bilo gdje

Izvor: https://www.rack911labs.com


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   guillermoivan rekao je
    čini 4 godina

    najupečatljivije ... je kako se ramsomware trenutno širi i kako AV programerima treba 6 mjeseci da implementiraju zakrpu ...

    Odgovoriti guillermoivan