Die meisten Antivirenprogramme können mithilfe symbolischer Links deaktiviert werden

Darkcrizt

4 Minuten

Ausweichen-Antiviren-Software

Gestern hat die RACK911 Labs Forscher teile ichn auf ihrem Blog, ein Beitrag, in dem sie bekannt gemacht haben Ein Teil seiner Forschung zeigt, dass fast alle die Pakete von Antivirus für Windows, Linux und MacOS war anfällig Angriffe, die die Rennbedingungen manipulieren, während Dateien entfernt werden, die Malware enthalten.

In deinem Beitrag Zeigen Sie, dass Sie eine Datei herunterladen müssen, um einen Angriff auszuführen dass das Antivirus als bösartig erkennt (zum Beispiel kann eine Testsignatur verwendet werden) und Nach einer bestimmten Zeit, nachdem das Antivirenprogramm die schädliche Datei erkannt hat  Unmittelbar vor dem Aufruf der Funktion zum Entfernen nimmt die Datei bestimmte Änderungen vor.

Was die meisten Antivirenprogramme nicht berücksichtigen, ist das kleine Zeitintervall zwischen dem ersten Scan der Datei, die die schädliche Datei erkennt, und dem Bereinigungsvorgang, der unmittelbar danach ausgeführt wird.

Ein böswilliger lokaler Benutzer oder Malware-Autor kann häufig eine Race-Bedingung über eine Verzeichnisverbindung (Windows) oder einen symbolischen Link (Linux und MacOS) ausführen, die privilegierte Dateivorgänge nutzt, um Antivirensoftware zu deaktivieren oder das Betriebssystem zu stören, um sie zu verarbeiten.

In Windows wird ein Verzeichniswechsel vorgenommen Verwenden eines Verzeichnis-Joins. Während sich unter Linux und Macos, Ein ähnlicher Trick kann gemacht werden Ändern des Verzeichnisses in den Link "/ etc".

Das Problem ist, dass fast alle Antivirenprogramme die symbolischen Links nicht korrekt überprüft haben und die Datei in dem durch den symbolischen Link angegebenen Verzeichnis gelöscht haben, da sie eine schädliche Datei gelöscht haben.

Unter Linux und MacOS zeigt es wie auf diese Weise ein Benutzer ohne Berechtigungen Sie können / etc / passwd oder eine andere Datei aus dem System entfernen und unter Windows die DDL-Bibliothek des Antivirenprogramms, um dessen Betrieb zu blockieren (unter Windows wird der Angriff nur durch Löschen von Dateien begrenzt, die andere Benutzer derzeit nicht verwenden).

Ein Angreifer kann beispielsweise ein Exploits-Verzeichnis erstellen und die Datei EpSecApiLib.dll mit der Virentestsignatur laden. Anschließend kann das Exploits-Verzeichnis durch den symbolischen Link ersetzt werden, bevor die Plattform deinstalliert wird, die die EpSecApiLib.dll-Bibliothek aus dem Verzeichnis entfernt.

Zusätzlich Viele Antivirenprogramme für Linux und MacOS haben die Verwendung vorhersehbarer Dateinamen offenbart Wenn Sie mit temporären Dateien im Verzeichnis / tmp und / private tmp arbeiten, können Sie damit die Berechtigungen für den Root-Benutzer erhöhen.

Bisher haben die meisten Anbieter die Probleme bereits beseitigt, Es ist jedoch zu beachten, dass die ersten Benachrichtigungen über das Problem im Herbst 2018 an die Entwickler gesendet wurden.

In unseren Tests unter Windows, MacOS und Linux konnten wir wichtige Antiviren-Dateien, die es unwirksam machten, problemlos entfernen und sogar wichtige Betriebssystemdateien entfernen, die zu erheblichen Beschädigungen führen und eine vollständige Neuinstallation des Betriebssystems erfordern würden.

Obwohl nicht alle die Updates veröffentlicht haben, haben sie mindestens 6 Monate lang einen Fix erhalten, und RACK911 Labs ist der Ansicht, dass Sie jetzt das Recht haben, Informationen über Sicherheitslücken offenzulegen.

Es wird darauf hingewiesen, dass RACK911 Labs seit langem an der Identifizierung von Sicherheitslücken arbeitet, jedoch nicht damit gerechnet hat, dass es aufgrund der verzögerten Veröffentlichung von Updates und der Tatsache, dass Sicherheitsprobleme dringend behoben werden müssen, so schwierig sein würde, mit Kollegen in der Antivirenbranche zusammenzuarbeiten .

Von den von diesem Problem betroffenen Produkten werden erwähnt Zu dem Folgendem:

Linux

  • BitDefender GravityZone
  • Comodo Endpunktsicherheit
  • Eset-Dateiserversicherheit
  • F-Secure Linux-Sicherheit
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus für Linux

Windows

  • Avast Free Anti-Virus
  • Avira freie Antivirussoftware
  • BitDefender GravityZone
  • Comodo Endpunktsicherheit
  • F-Secure-Computerschutz
  • FireEye-Endpunktsicherheit
  • X abfangen (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes für Windows
  • McAfee Endpoint Security
  • Panda Dome
  • Webroot Sicher überall

MacOS

  • AVG
  • BitDefender Gesamtsicherheit
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Startseite
  • Webroot Sicher überall

Quelle: https://www.rack911labs.com


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   Guillermoivan sagte
    vor 4-jährige

    Am auffälligsten ist, wie sich Ramsomware derzeit verbreitet und AV-Entwickler 6 Monate brauchen, um einen Patch zu implementieren.

    Antworte auf guillermoivan