Τα περισσότερα antivirus μπορούν να απενεργοποιηθούν με συμβολικούς συνδέσμους

Darkcrizt

4 λεπτά

λογισμικό αποφυγής ιών

Χθες, το RACK911 Labs ερευνητές, μοιράζομαιn στο blog τους, μια ανάρτηση στην οποία κυκλοφόρησαν μέρος της έρευνάς του που δείχνει ότι σχεδόν όλα τα πακέτα του Τα antivirus για Windows, Linux και macOS ήταν ευάλωτα σε επιθέσεις που χειρίζονται τις συνθήκες των αγώνων κατά την αφαίρεση αρχείων που περιέχουν κακόβουλο λογισμικό.

Στην ανάρτησή σας δείξτε ότι για να εκτελέσετε μια επίθεση, πρέπει να κατεβάσετε ένα αρχείο ότι το antivirus αναγνωρίζει ως κακόβουλο (για παράδειγμα, μπορεί να χρησιμοποιηθεί μια δοκιμαστική υπογραφή) και μετά από ένα συγκεκριμένο χρονικό διάστημα, αφού το antivirus εντοπίσει το κακόβουλο αρχείο  αμέσως πριν καλέσετε τη συνάρτηση για να την αφαιρέσετε, το αρχείο ενεργεί για να κάνει ορισμένες αλλαγές.

Αυτό που δεν λαμβάνουν υπόψη τα περισσότερα προγράμματα προστασίας από ιούς είναι το μικρό χρονικό διάστημα μεταξύ της αρχικής σάρωσης του αρχείου που εντοπίζει το κακόβουλο αρχείο και τη λειτουργία εκκαθάρισης που εκτελείται αμέσως μετά.

Ένας κακόβουλος τοπικός χρήστης ή συγγραφέας κακόβουλου λογισμικού μπορεί συχνά να εκτελέσει μια κατάσταση αγώνα μέσω διασταύρωσης καταλόγου (Windows) ή συμβολικής σύνδεσης (Linux και macOS) που εκμεταλλεύεται τις προνομιακές λειτουργίες αρχείων για να απενεργοποιήσει το λογισμικό προστασίας από ιούς ή να παρεμβαίνει στο λειτουργικό σύστημα για την επεξεργασία του.

Στα Windows γίνεται μια αλλαγή καταλόγου χρησιμοποιώντας έναν κατάλογο. ενώ σε Linux και Macos, μπορείτε να κάνετε ένα παρόμοιο τέχνασμα αλλαγή του καταλόγου σε σύνδεσμο "/ etc".

Το πρόβλημα είναι ότι σχεδόν όλα τα προγράμματα προστασίας από ιούς δεν έλεγξαν σωστά τους συμβολικούς συνδέσμους και θεωρώντας ότι διαγράφουν ένα κακόβουλο αρχείο, διέγραψαν το αρχείο στον κατάλογο που επισημαίνεται από τον συμβολικό σύνδεσμο.

Σε Linux και macOS εμφανίζεται πώς με αυτόν τον τρόπο ένας χρήστης χωρίς προνόμια μπορείτε να αφαιρέσετε / etc / passwd ή οποιοδήποτε άλλο αρχείο από το σύστημα και στα Windows η βιβλιοθήκη DDL του antivirus για να αποκλείσει τη λειτουργία της (στα Windows, η επίθεση περιορίζεται μόνο με τη διαγραφή αρχείων που δεν χρησιμοποιούν αυτήν τη στιγμή άλλοι χρήστες) εφαρμογών).

Για παράδειγμα, ένας εισβολέας μπορεί να δημιουργήσει έναν κατάλογο exploits και να φορτώσει το αρχείο EpSecApiLib.dll με την υπογραφή δοκιμής ιών και, στη συνέχεια, να αντικαταστήσει τον κατάλογο exploits με τον συμβολικό σύνδεσμο πριν απεγκαταστήσει την πλατφόρμα που θα αφαιρέσει τη βιβλιοθήκη EpSecApiLib.dll από τον κατάλογο. antivirus.

Επιπλέον, πολλά antivirus για Linux και macOS αποκάλυψαν τη χρήση προβλέψιμων ονομάτων αρχείων όταν εργάζεστε με προσωρινά αρχεία στον κατάλογο / tmp και / ιδιωτικό tmp, τα οποία θα μπορούσαν να χρησιμοποιηθούν για την αύξηση των δικαιωμάτων για τον χρήστη root.

Μέχρι σήμερα, οι περισσότεροι πάροχοι έχουν ήδη εξαλείψει τα προβλήματα, Ωστόσο, πρέπει να σημειωθεί ότι οι πρώτες ειδοποιήσεις για το πρόβλημα στάλθηκαν στους προγραμματιστές το φθινόπωρο του 2018.

Στις δοκιμές μας σε Windows, macOS και Linux, καταφέραμε να καταργήσουμε εύκολα σημαντικά αρχεία που σχετίζονται με ιούς που το κατέστησαν αναποτελεσματικό και ακόμη και να αφαιρέσουμε βασικά αρχεία λειτουργικού συστήματος που θα προκαλούσαν σημαντική καταστροφή που θα απαιτούσε πλήρη επανεγκατάσταση του λειτουργικού συστήματος.

Παρόλο που δεν κυκλοφόρησαν όλοι οι ενημερώσεις, έλαβαν μια επιδιόρθωση για τουλάχιστον 6 μήνες και το RACK911 Labs πιστεύει ότι τώρα έχετε το δικαίωμα να αποκαλύψετε πληροφορίες σχετικά με τις ευπάθειες.

Σημειώνεται ότι το RACK911 Labs εργάζεται για τον εντοπισμό τρωτών σημείων για μεγάλο χρονικό διάστημα, αλλά δεν προέβλεπε ότι θα ήταν τόσο δύσκολο να συνεργαστεί με συναδέλφους στη βιομηχανία προστασίας από ιούς λόγω καθυστερημένης κυκλοφορίας ενημερώσεων και αγνοώντας την ανάγκη επείγουσας επίλυσης ζητημάτων ασφαλείας .

Αναφέρονται τα προϊόντα που επηρεάζονται από αυτό το πρόβλημα στα ακόλουθα:

Linux

  • BitDefender GravityZone
  • Ασφάλεια τελικού σημείου Comodo
  • Ασφάλεια διακομιστή αρχείων Eset
  • F-Secure Linux Security
  • Ασφάλεια τελικού σημείου Kaspersy
  • McAfee Endpoint Security
  • Sophos Anti-Virus για Linux

Windows

  • Avast Δωρεάν Anti-Virus
  • Δωρεάν Avira Anti-Virus
  • BitDefender GravityZone
  • Ασφάλεια τελικού σημείου Comodo
  • F-Secure Προστασία υπολογιστή
  • FireEye Endpoint Security
  • InterceptX (Sophos)
  • Ασφάλεια τελικού σημείου Kaspersky
  • Malwarebytes για Windows
  • McAfee Endpoint Security
  • Θόλος Panda
  • Webroot Ασφαλής Οπουδήποτε

MacOS

  • AVG
  • Συνολική ασφάλεια BitDefender
  • Eset Cyber ​​Security
  • Το Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Αρχική σελίδα της Sophos
  • Webroot Ασφαλής Οπουδήποτε

πηγή: https://www.rack911labs.com


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   γκιλερμοϊβάν dijo
    πριν 4 χρόνια

    το πιο εντυπωσιακό… είναι πώς διαδίδεται το ramsomware και ότι οι προγραμματιστές AV χρειάζονται 6 μήνες για να εφαρμόσουν μια ενημέρωση κώδικα…

    Απάντηση στο guillermoivan