Umume antivirus bisa dipateni nganggo tautan simbolik

Wingi, ing Peneliti Lab RACK911, aku nuduhakeing blog kasebut, sawijining kiriman sing dirilis bagean saka riset sing nuduhake meh kabeh paket saka antivirus kanggo Windows, Linux lan macOS rentan kanggo serangan sing ngapusi kahanan balapan nalika mbusak file sing ngemot malware.

Ing kiriman sampeyan nuduhake yen kanggo nindakake serangan, sampeyan kudu ndownload file sing dianggep antivirus minangka angkoro (contone, tandha tangan test bisa digunakake) lan sawise wektu tartamtu, sawise antivirus ndeteksi file angkoro  sanalika sadurunge nelpon fungsi kanggo nyopot, file kasebut tumindak nggawe pangowahan tartamtu.

Program paling antivirus sing ora dipikirake yaiku interval wektu cilik ing antarane pindai dhisikan file sing ndeteksi file angkoro lan operasi pembersihan sing ditindakake langsung sawise.

Panganggo lokal utawa malware sing mbebayani bisa nindakake kahanan balapan liwat persimpangan direktori (Windows) utawa symlink (Linux lan macOS) sing njupuk keuntungan saka operasi file sing istimewa kanggo mateni piranti lunak antivirus utawa ngganggu kanthi sistem operasi kanggo ngolah.

Ing Windows, pangowahan direktori digawe nggunakake direktori gabung. Nalika ing Linux lan Macos, trik sing padha bisa ditindakake ngganti direktori dadi tautan "/ etc".

Masalahe yaiku meh kabeh antivirus ora mriksa tautan simbolis kanthi bener lan ngelingi yen mbusak file jahat, file kasebut mbusak ing direktori sing dituduhake dening tautan simbolis.

Ing Linux lan macOS ditampilake kepiye cara iki pangguna tanpa hak istimewa sampeyan bisa mbusak / etc / passwd utawa file liyane saka sistem lan ing Windows perpustakaan DDL antivirus kanggo mblokir operasine (ing Windows, serangan kasebut diwatesi mung kanthi mbusak file sing saiki ora digunakake pangguna liyane) aplikasi).

Contone, panyerang bisa nggawe direktori eksploitasi lan mbukak file EpSecApiLib.dll nganggo tandha tangan tes virus lan banjur ngganti direktori eksploitasi nganggo tautan simbolis sadurunge nyopot platform sing bakal mbusak perpustakaan EpSecApiLib.dll saka direktori. antivirus

Uga, akeh antivirus kanggo Linux lan macOS ngumumake panggunaan jeneng file sing bisa diprediksi nalika nggarap file sementara ing direktori / tmp lan / tmp pribadi, sing bisa digunakake kanggo nambah hak istimewa kanggo pangguna root.

Nganti saiki, umume panyedhiya wis ngilangi masalah, Nanging kudu dielingi manawa kabar pisanan babagan masalah dikirim menyang pangembang ing musim gugur 2018.

Ing tes ing Windows, macOS, lan Linux, kita bisa kanthi gampang mbusak file sing gegandhengan karo antivirus sing ora efektif, lan malah mbusak file sistem operasi utama sing bakal nyebabake korupsi sing signifikan sing mbutuhake instal maneh sistem operasi kanthi lengkap.

Sanajan ora kabeh wong ngluncurake pembaruan, paling ora nampa paling ora 6 wulan, lan Lab RACK911 yakin manawa saiki duwe hak kanggo nyampekano informasi babagan kerentanan.

Ditulis manawa RACK911 Labs wis suwe nggarap identifikasi kerentanan, nanging ora ngarepake bakal angel banget bisa kerja bareng karo kolega ing industri antivirus amarga telat ngeculake pembaruan lan ora nggatekake kebutuhan kanggo ndandani masalah keamanan kanthi cepet.

Saka produk sing kena pengaruh masalah kasebut, kanggo ing ngisor iki:

Linux

• BitDefender GravityZone
• Keamanan Endpoint Comodo
• Keamanan Server File Eset
• Keamanan Linux F-Secure
• Kaspersy Endpoint Security
• Keamanan Enda McAfee
• Sophos Anti-Virus kanggo Linux

Windows

• Avast Free Anti-Virus
• Avira Bebas Anti-Virus
• BitDefender GravityZone
• Keamanan Endpoint Comodo
• Perlindhungan Komputer F-Aman
• FireEye Endpoint Keamanan
• Nyegat X (Sophos)
• Kaspersky Endpoint Security
• Malwarebytes kanggo Windows
• Keamanan Enda McAfee
• Kubah Panda
• Webroot Aman Ngendi wae

MacOS

• AVG
• Keamanan Total BitDefender
• Keamanan Cyber ​​Eset
• Kaspersky Internet Security
• McAfee Total Protection
• Microsoft Defender (BETA)
• Norton Security
• Sophos Home
• Webroot Aman Ngendi wae

sumber: https://www.rack911labs.com