Birusen aurkako gehienak desgaitu daitezke esteka sinbolikoak erabiliz

birusen aurkako softwarea saihestuz

Atzo, RACK911 Labs-eko ikertzaileek, partekatzen dutn bere blogean, argitaratu zuten argitalpenean ia guztiak erakusten duen ikerketaren zati bat paketeak Windows, Linux eta MacOS birusen aurkakoak ahulak ziren lasterketen baldintzak manipulatzen dituzten erasoetara, malware duten fitxategiak kentzen dituzten bitartean.

Zure mezuan erakutsi eraso bat egiteko fitxategi bat deskargatu behar duzula birusen aurkakoek maltzur gisa aitortzen dutela (adibidez, proba sinadura erabil daiteke) eta denbora jakin bat igarota, birusen aurkako fitxategia gaiztoa detektatu ondoren  kentzeko funtziora deitu aurretik, fitxategiak zenbait aldaketa egiteko jarduten du.

Birusen aurkako programa gehienek kontuan hartzen ez dutena da fitxategi gaiztoa hautematen duen fitxategiaren hasierako eskaneatzearen eta ondoren berehala egiten den garbiketa eragiketaren arteko tarte txikia.

Tokiko erabiltzaile maltzur batek edo malware egile batek lasterketa baldintza bat egin dezake direktorioen bilgunearen bidez (Windows) edo esteka sinbolikoaren bidez (Linux eta macOS), fitxategi eragiketa pribilegiatuak aprobetxatzen dituena birusen aurkako softwarea desgaitzeko edo sistema eragilea oztopatzeko prozesatu ahal izateko.

Windows-en direktorio aldaketa egiten da direktorioko batzea erabiliz. bitartean Linux eta Macos-en, antzeko trikimailua egin daiteke direktorioa "/ etc" estekara aldatzen.

Arazoa da birusen aurkako ia guztiek ez dituztela lotura sinbolikoak ondo egiaztatu eta fitxategi maltzurra ezabatzen ari direla kontuan hartuta, esteka sinbolikoak adierazten duen direktorioko fitxategia ezabatu dute.

Linux eta macOS-en erakusten du nola modu horretan pribilegiorik gabeko erabiltzailea / etc / passwd edo beste edozein fitxategi kendu ditzakezu sistematik eta Windows-en birusen aurkako DDL liburutegia bere funtzionamendua blokeatzeko (Windows-en, erasoa gaur egun beste erabiltzaileek erabiltzen ez dituzten fitxategiak ezabatuz soilik mugatzen da) aplikazioak).

Adibidez, erasotzaile batek esplotazioen direktorio bat sor dezake eta EpSecApiLib.dll fitxategia birusen probaren sinadurarekin karga dezake eta, ondoren, esplotazioen direktorioa esteka sinbolikoarekin ordezkatu dezake EpSecApiLib.dll liburutegia direktoriotik kenduko duen plataforma desinstalatu aurretik.

Gainera, Linuxen eta macOSen aurkako birus askok agerian utzi zuten aurreikus daitezkeen fitxategi izenen erabilera / tmp eta / private tmp direktorioko aldi baterako fitxategiekin lan egitean, root erabiltzailearen pribilegioak handitzeko erabil daitezke.

Orain arte, hornitzaile gehienek arazoak ezabatu dituzte dagoeneko. Baina kontuan hartu behar da arazoaren lehen jakinarazpenak 2018ko udazkenean bidali zizkietela garatzaileei.

Windows, macOS eta Linux-en egin ditugun probetan, eraginkorra izan ez dadin birusekin erlazionatutako fitxategi garrantzitsuak erraz ezabatu ahal izan ditugu, eta sistema eragilearen funtsezko ustiapen fitxategiak ere kendu ditugu, sistema eragilearen erabateko berrinstalazioa beharko luketenak.

Eguneratzeak denek kaleratu ez zituzten arren, gutxienez 6 hilabetez konponketa bat jaso zuten eta RACK911 Labs-ek uste du orain eskubidea duzula ahultasunen inguruko informazioa ezagutzera emateko.

Kontuan izan da RACK911 Labs-ek aspalditik zaurgarritasunaren identifikazioan lanean diharduela, baina ez zuen aurreikusten birusen aurkako industriako lankideekin lan egitea hain zaila izango zenik eguneratzeen argitaratze atzeratuaren ondorioz eta segurtasun arazoak premiaz konpontzearen beharra alde batera utzita. .

Arazo honek eragindako produktuetatik aipatzen dira honako hauetara:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset fitxategi zerbitzariaren segurtasuna
  • F-Secure Linux segurtasuna
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Linuxerako Sophos Anti-Virus

Windows

  • Avast doako birusaren aurkakoa
  • Avira doako birusen aurkako
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-ordenagailuaren babes segurua
  • FireEye Endpoint Security
  • Atzeman X (Sophos)
  • Kaspersky Endpoint Security
  • Windows-erako Malwarebytes
  • McAfee Endpoint Security
  • Panda kupula
  • Webroot segurua edonon

MacOS

  • AVG
  • BitDefender segurtasun osoa
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Guztira Babesa
  • Microsoft Defender (BETA)
  • Norton segurtasuna
  • Sophos Home
  • Webroot segurua edonon

Fuente: https://www.rack911labs.com


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Iruzkin bat, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   guillermoivan esan zuen

    deigarriena ... nola ari da hedatzen ramsomware-a eta AV garatzaileek 6 hilabete behar dituzte adabaki bat ezartzeko ...