De fleste antivirusprogrammer kan deaktiveres ved hjælp af symbolske links

Darkcrizt

4 minutter

undgå-antivirus-software

I går, den RACK911 Labs forskere, deler jegn på deres blog, et indlæg, hvori de frigav del af hans forskning, der viser, at næsten alle pakkerne med antivirus til Windows, Linux og macOS var sårbare til angreb, der manipulerer race betingelser, mens du fjerner filer, der indeholder malware.

I dit indlæg vis at du skal downloade en fil for at udføre et angreb at antivirusprogrammet genkender sig som ondsindet (f.eks. kan en testsignatur bruges) og efter et bestemt tidspunkt, efter at antivirusprogrammet registrerer den ondsindede fil  straks før funktionen kaldes for at fjerne den, fungerer filen for at foretage visse ændringer.

Hvad de fleste antivirusprogrammer ikke tager i betragtning, er det lille tidsinterval mellem den indledende scanning af filen, der registrerer den ondsindede fil, og den oprydningsoperation, der udføres umiddelbart derefter.

En ondsindet lokal bruger eller forfatter til malware kan ofte udføre en race-tilstand via et bibliotekskryds (Windows) eller symlink (Linux og macOS), der udnytter privilegerede filoperationer til at deaktivere antivirussoftware eller forstyrre operativsystemet til at behandle det.

I Windows foretages en mappeskift ved hjælp af en bibliotekstilslutning. Mens på Linux og Macos, et lignende trick kan gøres skift mappe til "/ etc" link.

Problemet er, at næsten alt antivirus ikke kontrollerede de symbolske links korrekt, og i betragtning af at de slettede en ondsindet fil, slettede de filen i den mappe, der er angivet med det symbolske link.

På Linux og macOS viser det hvordan på denne måde en bruger uden privilegier du kan fjerne / etc / passwd eller enhver anden fil fra systemet og i Windows antivirusens DDL-bibliotek for at blokere dets funktion (i Windows er angrebet kun begrænset ved at slette filer, som andre brugere ikke bruger i øjeblikket) applikationer).

For eksempel kan en hacker oprette en udnyttelsesmappe og indlæse EpSecApiLib.dll-filen med virustestsignaturen og derefter erstatte udnyttelsesmappen med det symbolske link, inden den afinstallerer platformen, som fjerner EpSecApiLib.dll-biblioteket fra biblioteket. Antivirus.

Derudover mange antivirusprogrammer til Linux og macOS afslørede brugen af ​​forudsigelige filnavne når du arbejder med midlertidige filer i / tmp og / private tmp-biblioteket, som kan bruges til at øge rettighederne for rodbrugeren.

Til dato har de fleste udbydere allerede fjernet problemerne, Men det skal bemærkes, at de første meddelelser om problemet blev sendt til udviklerne i efteråret 2018.

I vores test på Windows, macOS og Linux var vi i stand til nemt at fjerne vigtige antivirusrelaterede filer, der gjorde det ineffektivt, og endda fjerne nøgleoperativsystemfiler, der ville forårsage betydelig korruption, der ville kræve en komplet geninstallation af operativsystemet.

Selvom ikke alle udgav opdateringerne, modtog de en løsning i mindst 6 måneder, og RACK911 Labs mener, at du nu har ret til at videregive oplysninger om sårbarheder.

Det bemærkes, at RACK911 Labs har arbejdet med identifikation af sårbarhed i lang tid, men forventede ikke, at det ville være så svært at arbejde med kolleger i antivirusbranchen på grund af forsinket frigivelse af opdateringer og ignorerer behovet for hurtigst muligt at løse sikkerhedsproblemer.

Af de produkter, der er berørt af dette problem, nævnes til følgende:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset filserversikkerhed
  • F-Secure Linux-sikkerhed
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus til Linux

Windows

  • Avast gratis antivirus
  • Avira gratis antivirus
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure computerbeskyttelse
  • FireEye-slutpunktssikkerhed
  • InterceptX (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes til Windows
  • McAfee Endpoint Security
  • Panda kuppel
  • Webroot Secure Anywhere

MacOS

  • AVG
  • BitDefender Total sikkerhed
  • Eset Cybersikkerhed
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Secure Anywhere

kilde: https://www.rack911labs.com


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   guillermoivan sagde han
    siden 4 år

    det mest slående ... er, hvordan ramsomware i øjeblikket spredes, og at AV-udviklere tager 6 måneder på at implementere en patch ...

    Svar på guillermoivan