Антивирустың көпшілігін символдық сілтемелер арқылы өшіруге болады

антивирустық-бағдарламалық жасақтама

Кеше RACK911 зертханаларының зерттеушілері, мен бөлісемінn өз блогында, олар шығарған хабарлама бұл оның зерттеулерінің барлығы дерлік пакеттері Windows, Linux және macOS антивирустары осал болды құрамында зиянды бағдарлама бар файлдарды жою кезінде жарыс жағдайларын басқаратын шабуылдарға.

Сіздің жазбаңызда шабуыл жасау үшін файлды жүктеу керек екенін көрсетіңіз антивирус зиянды деп таниды (мысалы, сынақ қолтаңбасын пайдалануға болады) және белгілі бір уақыттан кейін, антивирус зиянды файлды анықтағаннан кейін  оны жою үшін функцияны шақырар алдында, файл белгілі бір өзгерістер енгізу үшін әрекет етеді.

Антивирустық бағдарламалардың көпшілігінде ескерілмейтіні - зиянды файлды анықтайтын файлды бастапқы сканерлеу мен кейіннен тазарту әрекеті арасындағы уақыт аралығы.

Зиянды жергілікті пайдаланушы немесе зиянды бағдарлама авторы жиі жарыс жағдайын каталогтар торабы (Windows) немесе символдық сілтеме (Linux және macOS) арқылы орындай алады, бұл вирусқа қарсы бағдарламалық жасақтаманы өшіру немесе оны өңдеу үшін операциялық жүйеге кедергі жасау үшін артықшылықты файл операцияларын қолданады.

Windows-та каталог өзгертілді каталогты біріктіру арқылы. Әзірше Linux және Macos-та, ұқсас трюк жасауға болады каталогты «/ etc» сілтемесіне өзгерту.

Мәселе мынада: барлық антивирустықтар символдық сілтемелерді дұрыс тексермеген және зиянды файлды жойып жатқанын ескеріп, олар символдық сілтеме көрсетілген каталогтағы файлды жойған.

Linux және macOS-да ол көрінеді қалайша артықшылықтары жоқ пайдаланушы / etc / passwd немесе кез келген басқа файлды жүйеден жоюға болады және Windows-та антивирустың DDL кітапханасы оның жұмысын бұғаттауға мүмкіндік береді (Windows-та шабуыл тек басқа қолданушылар қолданбайтын файлдарды жоюмен шектеледі) қосымшалар).

Мысалы, шабуылдаушы эксплуатация каталогын құра алады және EpSecApiLib.dll файлын вирустық тестілеу қолтаңбасымен жүктей алады, содан кейін EpSecApiLib.dll кітапханасын каталогтан шығаратын платформаны жоймас бұрын эксплойттар каталогын символдық сілтемемен ауыстыра алады.

Сонымен қатар, Linux және macOS-қа арналған көптеген антивирустар болжамды файл атауларының қолданылуын анықтады / tmp және / private tmp каталогындағы уақытша файлдармен жұмыс істегенде, оларды түбірлік пайдаланушы үшін артықшылықтарды арттыру үшін пайдалануға болады.

Бүгінгі күні көптеген провайдерлер проблемаларды жойды, Бірақ айта кету керек, проблема туралы алғашқы хабарламалар әзірлеушілерге 2018 жылдың күзінде жіберілді.

Windows, macOS және Linux жүйелеріндегі тесттерде біз антивирусқа қатысты маңызды емес файлдарды оңай алып тастадық, тіпті операциялық жүйені толықтай қайта орнатуды қажет ететін маңызды бұзушылықтар тудыратын негізгі операциялық жүйелік файлдарды алып тастадық.

Барлығы жаңартуларды шығармағанымен, кем дегенде 6 айға түзету алды, және RACK911 зертханалары осалдықтар туралы ақпаратты жария етуге құқылы деп санайды.

RACK911 зертханалары осалдықтарды анықтау бойынша ұзақ уақыт жұмыс істеген, бірақ жаңартулардың кешіктірілуі және қауіпсіздік мәселелерін шұғыл түзету қажеттілігін ескермеуіне байланысты антивирустық индустриядағы әріптестермен жұмыс істеу соншалықты қиын болады деп ойламағанын атап өтті. .

Осы проблемадан зардап шеккен өнімдер туралы айтылды келесілерге:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset файлдық серверінің қауіпсіздігі
  • F-Secure Linux қауіпсіздігі
  • Kaspersy Endpoint Security
  • McAfee Endpoint қауіпсіздігі
  • Linux үшін Sophos антивирусы

Windows

  • Avast тегін антивирус
  • Avira тегін антивирусы
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-қауіпсіз компьютерлік қорғаныс
  • FireEye Endpoint қауіпсіздігі
  • Intercept X (Софос)
  • Kaspersky Endpoint Security
  • Windows үшін зиянды бағдарламалар
  • McAfee Endpoint қауіпсіздігі
  • Панда күмбезі
  • Webroot кез келген жерде қауіпсіз

MacOS

  • AVG
  • BitDefender жалпы қауіпсіздігі
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos үйі
  • Webroot кез келген жерде қауіпсіз

Дерек көзі: https://www.rack911labs.com


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Пікір, өз қалдыру

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   гильермоиван дижо

    ең таңғаларлық ... - қазіргі кезде ramsomware қалай таралатындығы және AV әзірлеушілері патчты енгізу үшін 6 ай уақыт алады ...