La maggior parte degli antivirus può essere disabilitata tramite collegamenti simbolici

Darkcrizt

4 minuti

eludere il software antivirus

Ieri, il Ricercatori di RACK911 Labs, condividon sul loro blog, un post in cui hanno rilasciato parte della sua ricerca mostra che quasi tutti i pacchetti di antivirus per Windows, Linux e macOS erano vulnerabili agli attacchi che manipolano le condizioni di gara durante la rimozione di file contenenti malware.

Nel tuo post dimostrare che per eseguire un attacco è necessario scaricare un file che l'antivirus riconosce come dannoso (ad esempio, è possibile utilizzare una firma di prova) e dopo un certo tempo, dopo che l'antivirus ha rilevato il file dannoso  immediatamente prima di chiamare la funzione per rimuoverlo, il file agisce per apportare determinate modifiche.

Ciò che la maggior parte dei programmi antivirus non tiene in considerazione è il breve intervallo di tempo tra la scansione iniziale del file che rileva il file dannoso e l'operazione di pulizia che viene eseguita immediatamente dopo.

Un utente locale malintenzionato o un autore di malware può spesso eseguire una race condition tramite una giunzione di directory (Windows) o un collegamento simbolico (Linux e macOS) che sfrutta le operazioni privilegiate sui file per disabilitare il software antivirus o interferire con il sistema operativo per elaborarlo.

In Windows viene effettuato un cambio di directory utilizzando una directory join. Mentre su Linux e Mac, un trucco simile può essere fatto cambiando directory in collegamento "/ etc".

Il problema è che quasi tutti gli antivirus non hanno controllato correttamente i link simbolici e considerando che stavano cancellando un file dannoso, hanno cancellato il file nella directory indicata dal link simbolico.

Su Linux e macOS si vede come in questo modo un utente senza privilegi puoi rimuovere / etc / passwd o qualsiasi altro file dal sistema e in Windows la libreria DDL dell'antivirus per bloccarne il funzionamento (in Windows l'attacco è limitato solo alla cancellazione di file che altri utenti non utilizzano attualmente).

Ad esempio, un utente malintenzionato può creare una directory degli exploit e caricare il file EpSecApiLib.dll con la firma del test antivirus e quindi sostituire la directory degli exploit con il collegamento simbolico prima di disinstallare la piattaforma che rimuoverà la libreria EpSecApiLib.dll dalla directory .antivirus.

Inoltre, molti antivirus per Linux e macOS hanno rivelato l'uso di nomi di file prevedibili quando si lavora con file temporanei nella directory / tmp e / private tmp, che potrebbero essere utilizzati per aumentare i privilegi per l'utente root.

Ad oggi, la maggior parte dei provider ha già eliminato i problemi, Ma va notato che le prime notifiche del problema sono state inviate agli sviluppatori nell'autunno del 2018.

Nei nostri test su Windows, macOS e Linux, siamo stati in grado di rimuovere facilmente importanti file correlati all'antivirus che lo rendevano inefficace e persino rimuovere i file chiave del sistema operativo che causerebbero un danneggiamento significativo che richiederebbe una reinstallazione completa del sistema operativo.

Anche se non tutti hanno rilasciato gli aggiornamenti, hanno ricevuto una correzione per almeno 6 mesi e RACK911 Labs ritiene che ora tu abbia il diritto di divulgare informazioni sulle vulnerabilità.

Si noti che RACK911 Labs ha lavorato a lungo sull'identificazione delle vulnerabilità, ma non prevedeva che sarebbe stato così difficile lavorare con i colleghi del settore antivirus a causa del rilascio ritardato degli aggiornamenti e ignorando la necessità di risolvere urgentemente i problemi di sicurezza .

Tra i prodotti interessati da questo problema vengono menzionati a quanto segue:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Imposta la sicurezza del file server
  • Sicurezza Linux F-Secure
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus per Linux

Windows

  • Avast Antivirus gratuito
  • Avira Antivirus gratis
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Protezione del computer F-Secure
  • Sicurezza degli endpoint FireEye
  • Intercetta X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes per Windows
  • McAfee Endpoint Security
  • Cupola Panda
  • Webroot sicuro ovunque

MacOS

  • AVG
  • Sicurezza totale BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot sicuro ovunque

fonte: https://www.rack911labs.com


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Guillermoivan suddetto
    fa 4 anni

    il più sorprendente ... è come il ramsomware si sta attualmente diffondendo e che gli sviluppatori AV impiegano 6 mesi per implementare una patch ...

    Rispondi a guillermoivan