Suurin osa virustentorjunnasta voidaan poistaa käytöstä symbolisilla linkeillä

Darkcrizt

4 minuuttia

kiertävä virustorjuntaohjelma

Eilen RACK911 Labs -tutkijat, jaann blogissaan, viesti, jossa he julkaisivat osa hänen tutkimuksestaan ​​osoittaa, että melkein kaikki - paketit Windows-, Linux- ja macOS-virustorjuntaohjelmat olivat haavoittuvia hyökkäyksiin, jotka manipuloivat kilpailuolosuhteita ja poistavat haittaohjelmia sisältävät tiedostot.

Viestissäsi osoittaa, että hyökkäyksen suorittamiseksi sinun on ladattava tiedosto - että virustentorjunta tunnistaa haitalliseksi (voidaan käyttää esimerkiksi testiallekirjoitusta) ja tietyn ajan kuluttua, kun virustorjunta on havainnut haitallisen tiedoston  juuri ennen toiminnon kutsumista sen poistamiseksi tiedosto tekee tiettyjä muutoksia.

Mitä useimmat virustentorjuntaohjelmat eivät ota huomioon, on pieni aikaväli haittaohjelman tunnistavan tiedoston ensimmäisen tarkistuksen ja välittömästi sen jälkeen suoritettavan puhdistustoiminnon välillä.

Haitallinen paikallinen käyttäjä tai haittaohjelmien kirjoittaja voi usein suorittaa kilpailutilanteen hakemistoyhteyden (Windows) tai symlinkin (Linux ja macOS) kautta, joka käyttää etuoikeutettuja tiedostotoimintoja hyödyntämällä virustentorjuntaohjelmiston poistamista käytöstä tai häiritsemistä. käyttöjärjestelmän kanssa sen käsittelemiseksi.

Windowsissa tehdään hakemistomuutos käyttämällä hakemistoliittymää. Vaikka Linuxissa ja Macosissa, voit tehdä samanlaisen temppun hakemiston vaihtaminen "/ etc" -linkiksi.

Ongelmana on, että melkein kaikki virustentorjuntaohjelmat eivät tarkistaneet symbolisia linkkejä oikein ja koska ne poistivat haitallisen tiedoston, ne poistivat symbolisen linkin osoittamaan hakemistoon.

Linuxissa ja macOS: ssa se näkyy miten tällä tavalla käyttäjä ilman oikeuksia voit poistaa / etc / passwd tai minkä tahansa muun tiedoston järjestelmästä ja Windowsissa virustentorjunnan DDL-kirjasto estämään sen toiminnan (Windowsissa hyökkäystä rajoittaa vain poistamalla tiedostoja, joita muut käyttäjät eivät tällä hetkellä käytä).

Hyökkääjä voi esimerkiksi luoda hyödyntämishakemiston ja ladata EpSecApiLib.dll-tiedoston virustestin allekirjoituksella ja korvata hyväksikäyttöhakemiston symbolisella linkillä ennen alustan asennuksen poistamista, mikä poistaa EpSecApiLib.dll-kirjaston hakemistosta. virustorjunta.

Lisäksi, monet Linux- ja macOS-virustorjunta paljastivat ennakoitavien tiedostojen nimien käytön työskenneltäessä väliaikaisten tiedostojen kanssa hakemistossa / tmp ja / private tmp, joita voidaan käyttää pääkäyttäjän oikeuksien lisäämiseen

Tähän mennessä useimmat palveluntarjoajat ovat jo poistaneet ongelmat, Mutta on huomattava, että ensimmäiset ilmoitukset ongelmasta lähetettiin kehittäjille syksyllä 2018.

Windows-, macOS- ja Linux-testeissämme pystyimme helposti poistamaan tärkeät virustorjuntaan liittyvät tiedostot, jotka tekivät sen tehottomaksi, ja jopa poistamaan tärkeimmät käyttöjärjestelmätiedostot, jotka aiheuttaisivat merkittävää korruptiota, joka vaatisi käyttöjärjestelmän täydellisen uudelleenasennuksen.

Vaikka kaikki eivät julkaisseet päivityksiä, he saivat korjauksen vähintään kuudeksi kuukaudeksi, ja RACK6 Labs uskoo, että sinulla on nyt oikeus paljastaa tietoja haavoittuvuuksista.

On huomattava, että RACK911 Labs on työskennellyt haavoittuvuuden tunnistamisen parissa pitkään, mutta ei ennakoinut, että virustentorjunta-alan kollegoiden kanssa olisi niin vaikeaa työskennellä päivitysten viivästyneen julkaisun takia ja jättää huomioimatta tarve korjata turvallisuusongelmat pikaisesti .

Tuotteista, joihin tämä ongelma liittyy, mainitaan seuraavaan:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset-tiedostopalvelimen suojaus
  • F-Secure Linux-tietoturva
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus Linuxille

Windows

  • Ilmainen Avast-virustorjunta
  • Avira ilmainen virustorjunta
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure-tietokoneiden suojaus
  • FireEye Endpoint Security
  • Sieppaus X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes Windowsille
  • McAfee Endpoint Security
  • Panda-kupoli
  • Webroot suojattu missä tahansa

MacOS

  • AVG
  • BitDefender Total Security
  • Eset-tietoturva
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot suojattu missä tahansa

lähde: https://www.rack911labs.com


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   guillermoivan dijo
    sitten 4 vuotta

    silmiinpistävin ... on se, miten ramsomware leviää tällä hetkellä ja että AV-kehittäjillä kestää 6 kuukautta korjaustiedoston käyttöönotto ...

    Vastaa guillermoivan