Enamiku viirusetõrjet saab keelata sümboolsete linkide abil

Eile toimus RACK911 Labs teadlased, jagann oma ajaveebis, postitus, milles nad teatavaks tegid osa tema uurimistööst, mis näitab, et peaaegu kõik - pakendid viirusetõrje Windowsi, Linuxi ja macOS-i jaoks olid haavatavad rünnakutele, mis manipuleerivad võistlustingimustega, eemaldades samal ajal pahavara sisaldavad failid.

Teie postituses näidata, et rünnaku korraldamiseks peate faili alla laadima et viirusetõrje tunneb ära pahatahtliku (näiteks saab kasutada testallkirja) ja teatud aja pärast, pärast seda, kui viirusetõrje pahatahtliku faili tuvastab  vahetult enne funktsiooni kutsumist selle eemaldamiseks toimib fail teatud muudatuste tegemiseks.

Mida enamik viirusetõrjeprogramme ei arvesta, on väike ajaintervall pahatahtliku faili tuvastava faili esmase skannimise ja vahetult pärast seda toimuva puhastustoimingu vahel.

Pahatahtlik kohalik kasutaja või pahavara autor võib võistlustingimuse sageli läbi viia kataloogi ristmiku (Windows) või sümboli (Linux ja macOS) kaudu, mis kasutab viirusetõrjetarkvara keelamiseks või häirimiseks privilegeeritud failitoiminguid töötlemiseks operatsioonisüsteemiga.

Windowsis tehakse kataloogimuudatus kasutades kataloogi liitumist. Kuigi Linuxis ja Macos, saate teha sarnase triki kataloogi muutmine lingiks "/ etc".

Probleem on selles, et peaaegu kogu viirusetõrje ei kontrollinud sümboolseid linke õigesti ja kuna nad kustutasid pahatahtlikku faili, kustutasid nad faili kaustast, millele sümboolne link osutas.

Linuxis ja macOS-is näitab see kuidas sel viisil privileegideta kasutaja võite süsteemist eemaldada faili / etc / passwd või mõne muu faili ja Windowsis viirusetõrje DDL-i teek selle toimimise blokeerimiseks (Windowsis on rünnak piiratud ainult failide kustutamisega, mida teised kasutajad praegu ei kasuta) rakendused).

Näiteks saab ründaja luua ekspluateerimiskataloogi ja laadida faili EpSecApiLib.dll viirusetesti allkirjaga ning seejärel asendada ekspluateerimise kataloog sümboolse lingiga enne platvormi desinstallimist, mis eemaldab EpSecApiLib.dll teegi kataloogist. viirusetõrje.

Lisaks paljud Linuxi ja macOS-i viirusetõrjed näitasid ennustatavate failinimede kasutamist kui töötate kataloogis / tmp ja / private tmp ajutiste failidega, mida saaks kasutada juurkasutaja õiguste suurendamiseks.

Tänaseks on enamik pakkujaid probleemid juba kõrvaldanud, Kuid tuleb märkida, et esimesed teated probleemist saadeti arendajatele 2018. aasta sügisel.

Windowsi, macOS-i ja Linuxi testides suutsime hõlpsasti eemaldada olulised viirusetõrjega seotud failid, mis muutsid selle ebaefektiivseks, ja isegi eemaldada peamised operatsioonisüsteemi failid, mis põhjustaksid märkimisväärset korruptsiooni, mis nõuaks operatsioonisüsteemi täielikku uuesti installimist.

Kuigi kõik ei andnud värskendusi välja, said nad paranduse vähemalt 6 kuuks ja RACK911 Labs usub, et teil on nüüd õigus avaldada teavet haavatavuste kohta.

Tuleb märkida, et RACK911 Labs on pikka aega töötanud haavatavuste väljaselgitamisel, kuid ei osanud arvata, et viirusetõrjetööstuse kolleegidega on värskenduste hilinenud väljaandmise tõttu eiratud ja turvaküsimuste kiireloomulise lahendamise vajaduse ignoreerimine nii keeruline.

Nendest toodetest, mida see probleem mõjutab, mainitakse järgmisele:

Linux

• BitDefender GravityZone
• Comodo lõpp-punkti turvalisus
• Eseti failiserveri turvalisus
• F-Secure Linuxi turvalisus
• Kaspersy Endpoint Security
• McAfee Endpoint Security
• Sophose viirusetõrje Linuxile

Windows

• Avast tasuta viirusetõrje
• Avira tasuta viirusetõrje
• BitDefender GravityZone
• Comodo lõpp-punkti turvalisus
• F-Secure arvutikaitse
• FireEye lõpp-punkti turvalisus
• Kuulata X (Sophos)
• Kaspersky Endpoint Security
• Malwarebytes Windowsi jaoks
• McAfee Endpoint Security
• Panda kuppel
• Veebijuur turvaline kõikjal

MacOS

• AVG
• BitDefender täielik turvalisus
• Eseti küberturvalisus
• Kaspersky Internet Security
• McAfee Total Protection
• Microsoft Defender (beeta)
• Norton Security
• Sophos Home
• Veebijuur turvaline kõikjal

allikas: https://www.rack911labs.com