La plupart des antivirus peuvent être désactivés à l'aide de liens symboliques

Darkcrizt

Minutes 4

logiciel anti-virus

Hier, le Chercheurs du RACK911 Labs, je partagen sur leur blog, un article dans lequel ils ont publié une partie de ses recherches montrant que presque tous les paquets de l'antivirus pour Windows, Linux et macOS était vulnérable aux attaques qui manipulent les conditions de concurrence lors de la suppression des fichiers contenant des logiciels malveillants.

Dans votre message montrer que pour mener une attaque, vous devez télécharger un fichier que l'antivirus reconnaît comme malveillant (par exemple, une signature de test peut être utilisée) et après un certain temps, après que l'antivirus a détecté le fichier malveillant  immédiatement avant d'appeler la fonction pour la supprimer, le fichier agit pour apporter certaines modifications.

Ce que la plupart des programmes antivirus ne prennent pas en compte, c'est le petit intervalle de temps entre l'analyse initiale du fichier qui détecte le fichier malveillant et l'opération de nettoyage qui est effectuée immédiatement après.

Un utilisateur local malveillant ou un auteur de malware peut souvent effectuer une condition de concurrence via une jonction de répertoire (Windows) ou un lien symbolique (Linux et macOS) qui tire parti des opérations de fichiers privilégiées pour désactiver le logiciel antivirus ou interférer avec le système d'exploitation pour le traiter.

Sous Windows, un changement de répertoire est effectué utilisation d'une jointure d'annuaire. Alors que sur Linux et Macos, une astuce similaire peut être faite changement de répertoire en lien "/ etc".

Le problème est que presque tous les antivirus n'ont pas vérifié correctement les liens symboliques et, considérant qu'ils supprimaient un fichier malveillant, ils ont supprimé le fichier dans le répertoire indiqué par le lien symbolique.

Sur Linux et macOS, cela montre comment de cette manière un utilisateur sans privilèges vous pouvez supprimer / etc / passwd ou tout autre fichier du système et dans Windows la bibliothèque DDL de l'antivirus pour bloquer son fonctionnement (sous Windows, l'attaque n'est limitée que par la suppression de fichiers que d'autres utilisateurs n'utilisent pas actuellement) des applications).

Par exemple, un attaquant peut créer un répertoire d'exploits et charger le fichier EpSecApiLib.dll avec la signature de test de virus puis remplacer le répertoire d'exploits par le lien symbolique avant de désinstaller la plateforme qui supprimera la bibliothèque EpSecApiLib.dll du répertoire. antivirus.

En outre, de nombreux antivirus pour Linux et macOS ont révélé l'utilisation de noms de fichiers prévisibles lorsque vous travaillez avec des fichiers temporaires dans les répertoires / tmp et / private tmp, qui pourraient être utilisés pour augmenter les privilèges de l'utilisateur root.

À ce jour, la plupart des fournisseurs ont déjà éliminé les problèmes, Mais il faut noter que les premières notifications du problème ont été envoyées aux développeurs à l'automne 2018.

Lors de nos tests sur Windows, macOS et Linux, nous avons pu facilement supprimer les fichiers importants liés à l'antivirus qui le rendaient inefficace et même supprimer les fichiers clés du système d'exploitation qui entraîneraient une corruption importante qui nécessiterait une réinstallation complète du système d'exploitation.

Même si tout le monde n'a pas publié les mises à jour, ils ont reçu un correctif pendant au moins 6 mois et RACK911 Labs pense que vous avez désormais le droit de divulguer des informations sur les vulnérabilités.

Il est à noter que RACK911 Labs travaille depuis longtemps sur l'identification des vulnérabilités, mais ne prévoyait pas qu'il serait si difficile de travailler avec des collègues de l'industrie antivirus en raison du retard de la publication des mises à jour et du besoin de résoudre de toute urgence les problèmes de sécurité.

Parmi les produits concernés par ce problème sont mentionnés à ce qui suit:

Linux/Unix

  • BitDefender Gravity Zone
  • Sécurité des terminaux Comodo
  • Sécurité du serveur de fichiers Eset
  • Sécurité F-Secure Linux
  • Sécurité des terminaux Kaspersy
  • Sécurité des terminaux McAfee
  • Sophos Anti-Virus pour Linux

Windows

  • Avast Antivirus Gratuit
  • Avira Free Antivirus
  • BitDefender Gravity Zone
  • Sécurité des terminaux Comodo
  • Protection de l'ordinateur F-Secure
  • Sécurité des terminaux FireEye
  • Intercepter X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes pour Windows
  • Sécurité des terminaux McAfee
  • Dôme de panda
  • Webroot Secure Anywhere

MacOS

  • AVG
  • BitDefender Total Security
  • Cybersécurité Eset
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BÊTA)
  • Norton
  • Sophos Accueil
  • Webroot Secure Anywhere

source: https://www.rack911labs.com


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Guillermoivan dit
    il ya 4 ans.

    le plus frappant ... est la façon dont ramsomware se propage actuellement et que les développeurs audiovisuels mettent 6 mois pour mettre en œuvre un correctif ...

    Répondre à guillermoivan