Kebanyakan antivirus dapat dinonaktifkan dengan tautan simbolis

Darkcrizt

4 menit

menghindari-antivirus-perangkat lunak

Kemarin, Peneliti RACK911 Labs, saya bagikann di blog mereka, sebuah postingan yang mereka rilis bagian dari penelitiannya menunjukkan bahwa hampir semua paket antivirus untuk Windows, Linux dan macOS rentan untuk serangan yang memanipulasi kondisi balapan sambil menghapus file yang berisi malware.

Di postingan Anda tunjukkan bahwa untuk melakukan serangan, Anda perlu mengunduh file yang dikenali oleh antivirus sebagai berbahaya (misalnya, tanda tangan uji dapat digunakan) dan setelah waktu tertentu, setelah antivirus mendeteksi file berbahaya tersebut  segera sebelum memanggil fungsi untuk menghapusnya, file tersebut bertindak untuk membuat perubahan tertentu.

Apa yang tidak diperhitungkan oleh sebagian besar program antivirus adalah interval waktu yang kecil antara pemindaian awal file yang mendeteksi file berbahaya dan operasi pembersihan yang dilakukan segera setelahnya.

Pengguna lokal yang jahat atau pembuat malware seringkali dapat melakukan kondisi balapan melalui persimpangan direktori (Windows) atau symlink (Linux dan macOS) yang memanfaatkan operasi file dengan hak istimewa untuk menonaktifkan perangkat lunak antivirus atau mengganggu sistem operasi untuk memprosesnya.

Di Windows, perubahan direktori dibuat menggunakan direktori bergabung. sementara di Linux dan MacOS, Anda bisa melakukan trik serupa mengubah direktori menjadi tautan "/ etc".

Masalahnya adalah bahwa hampir semua antivirus tidak memeriksa tautan simbolik dengan benar dan mengingat mereka menghapus file berbahaya, mereka menghapus file tersebut di direktori yang ditunjukkan oleh tautan simbolis.

Di Linux dan macOS, ini ditampilkan bagaimana dengan cara ini pengguna tanpa hak istimewa Anda dapat menghapus / etc / passwd atau file lainnya dari sistem dan di Windows perpustakaan DDL dari antivirus untuk memblokir operasinya (di Windows, serangan dibatasi hanya dengan menghapus file yang saat ini tidak digunakan oleh pengguna lain) aplikasi).

Misalnya, penyerang dapat membuat direktori eksploitasi dan memuat file EpSecApiLib.dll dengan tanda tangan uji virus dan kemudian mengganti direktori eksploitasi dengan tautan simbolis sebelum mencopot pemasangan platform yang akan menghapus pustaka EpSecApiLib.dll dari direktori. Antivirus.

Selain itu, banyak antivirus untuk Linux dan macOS mengungkapkan penggunaan nama file yang dapat diprediksi ketika bekerja dengan file sementara di direktori / tmp dan / private tmp, yang dapat digunakan untuk meningkatkan hak akses untuk pengguna root.

Sampai saat ini, sebagian besar penyedia telah mengatasi masalah tersebut, Tetapi perlu dicatat bahwa pemberitahuan pertama tentang masalah tersebut dikirim ke pengembang pada musim gugur 2018.

Dalam pengujian kami di Windows, macOS, dan Linux, kami dapat dengan mudah menghapus file penting terkait antivirus yang membuatnya tidak efektif dan bahkan menghapus file sistem operasi utama yang akan menyebabkan kerusakan signifikan yang memerlukan penginstalan ulang total sistem operasi.

Meskipun tidak semua orang merilis pembaruan, mereka menerima perbaikan setidaknya selama 6 bulan, dan RACK911 Labs yakin bahwa Anda sekarang memiliki hak untuk mengungkapkan informasi tentang kerentanan.

Tercatat bahwa RACK911 Labs telah mengerjakan identifikasi kerentanan untuk waktu yang lama, tetapi tidak mengantisipasi bahwa akan sangat sulit untuk bekerja dengan kolega di industri antivirus karena rilis pembaruan yang tertunda dan mengabaikan kebutuhan untuk segera memperbaiki masalah keamanan .

Produk yang terpengaruh oleh masalah ini disebutkan sebagai berikut:

Linux

  • Zona Gravitasi BitDefender
  • Keamanan Endpoint Comodo
  • Keamanan Server File Eset
  • Keamanan Linux F-Secure
  • Keamanan Kaspersy Endpoint
  • Keamanan Endpoint McAfee
  • Sophos Anti-Virus untuk Linux

Windows

  • Avast Antivirus Gratis
  • Avira Antivirus Gratis
  • Zona Gravitasi BitDefender
  • Keamanan Endpoint Comodo
  • Perlindungan Komputer F-Secure
  • Keamanan Titik Akhir FireEye
  • InterceptX (Sophos)
  • Keamanan Kaspersky Endpoint
  • Malwarebytes untuk Windows
  • Keamanan Endpoint McAfee
  • Kubah Panda
  • Webroot Aman Di Mana Saja

MacOS

  • AVG
  • Keamanan Total BitDefender
  • Eset Keamanan Cyber
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Pembela Microsoft (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Aman Di Mana Saja

sumber: https://www.rack911labs.com


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   guillermoivan.dll dijo
    dahulu 4 tahun

    yang paling mencolok… adalah bagaimana ramsomware saat ini menyebar dan bahwa pengembang AV membutuhkan waktu 6 bulan untuk menerapkan tambalan…

    Balas ke guillermoivan