Déi meescht Antivirus kënne vu symbolesche Linken ausgeschalt ginn

eviding-antivirus-software

Gëschter huet den RACK911 Labs Fuerscher, ech deelenn op hirem Blog, e Post an deem se verëffentlecht hunn Deel vu senger Fuerschung weist datt bal all d'Päck vun Antivirus fir Windows, Linux a macOS ware vulnérabel fir Attacken déi Rassekonditioune manipuléieren beim Ofleeë vu Dateien mat Malware.

An Ärem Post weisen datt fir en Ugrëff ze maachen, Dir musst eng Datei eroflueden datt den Antivirus als béisaarteg erkennt (zum Beispill kann eng Test Ënnerschrëft benotzt ginn) an no enger gewëssen Zäit, nodeems den Antivirus déi béisaarteg Datei detektéiert  direkt ier Dir d'Funktioun urufft fir se ze läschen, handelt d'Datei fir verschidde Ännerungen ze maachen.

Wat déi meescht Antivirus Programmer net berécksiichtegen ass de klengen Zäitintervall tëscht dem initialen Scan vun der Datei déi déi béisaarteg Datei detektéiert an d'Botzaktioun déi direkt duerno gemaach gëtt.

E béisaartege lokalen User oder Malware Autor kann dacks e Rennzoustand iwwer e Verzeichnisverbindung (Windows) oder symbolesche Link (Linux a MacOS) ausféieren, dee vu privilegéierte Dateieoperatioune profitéiert fir Antivirussoftware auszeschalten oder mam Betribssystem ze stéieren fir se ze verschaffen.

A Windows gëtt eng Verännerung vum Verzeechnes gemaach mat engem Verzeechnes matmaachen. Während op Linux a Macos, Dir kënnt en ähnlechen Trick maachen Verännerung vum Verzeichnis op "/ etc" Link.

De Problem ass datt bal all Antivirus déi symbolesch Links net korrekt kontrolléiert hunn a wann ee bedenkt datt se eng béisaarteg Datei läschen, hunn se d'Datei am Verzeechnes geläscht, déi duerch de symbolesche Link gewise gouf.

Op Linux a macOS weist et wéi op dës Manéier e Benotzer ouni Privilegien Dir kënnt / etc / passwd oder all aner Datei aus dem System läschen an Windows d'DDL Bibliothéik vum Antivirus fir seng Operatioun ze blockéieren (am Windows ass d'Attack nëmme limitéiert andeems Dateie geläscht ginn déi aner Benotzer am Moment net benotzen) Uwendungen).

Zum Beispill kann en Ugräifer en Exploits Verzeechnes erstellen an d'EpSecApiLib.dll Datei mat der Virus Test Ënnerschrëft lueden an dann den Exploits Verzeechnes duerch de symbolesche Link ersetzen ier d'Plattform deinstalléiert déi d'EPSecApiLib.dll Bibliothéik aus dem Verzeechnes läscht.

Och, vill Antivirus fir Linux an macOS hunn d'Benotzung vu viraussiichtleche Dateinumm verroden wann Dir mat temporäre Dateien am / tmp an / private tmp Verzeechnes schafft, déi benotzt kënne fir d'Privilegie fir de Rootbenutzer ze erhéijen.

Bis haut hunn déi meescht Ubidder d'Problemer scho eliminéiert, Awer et sollt bemierkt datt déi éischt Notifikatioune vum Problem un d'Entwéckler am Hierscht 2018 geschéckt goufen.

An eisen Tester op Windows, macOS a Linux konnte mir wichteg antivirus-bezunn Dateie ganz einfach ewechhuelen, déi et net effikass gemaach hunn, a souguer Schlëssel Betribssystem Dateie läschen, déi bedeitend Korruptioun verursaache géifen, déi eng komplett Neinstallatioun vum Betribssystem erfuerderen.

Och wann net jiddereen d'Aktualiséierunge verëffentlecht huet, krute se e Fix fir op d'mannst 6 Méint, an RACK911 Labs mengt datt Dir elo d'Recht hutt Informatiounen iwwer Schwachlëchkeet z'informéieren.

Et gëtt bemierkt datt RACK911 Labs fir eng Identifikatioun vu Schwächen fir eng laang Zäit geschafft hunn, awer net virausgesinn datt et sou schwéier wier mat Kollegen an der Antivirus Industrie ze schaffen wéinst der verspéiten Verëffentlechung vun Updates an ignoréiert de Besoin dréngend Sécherheetsprobleemer ze fixéieren.

Vun de Produkter betraff vun dësem Problem ginn erwähnt op déi folgend:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Sécherheet
  • Eset Dateiserver Sécherheet
  • F-Secure Linux Sécherheet
  • Kaspersy Endpunkt Sécherheet
  • McAfee Endpunkt Sécherheet
  • Sophos Anti-Virus fir Linux

Windows

  • Avast Fräi Anti-Virus
  • Avira Fräi Anti-Virus
  • BitDefender GravityZone
  • Comodo Endpoint Sécherheet
  • F-Secure Computer Schutz
  • FireEye Endpunkt Sécherheet
  • Intercept X (Sophos)
  • Kaspersky Endpoint Sécherheet
  • Malwarebytes fir Windows
  • McAfee Endpunkt Sécherheet
  • Panda Kuppel
  • Webroot Séchert Iwwerall

MacOS

  • rel
  • BitDefender Total Sécherheet
  • Eset Cyber ​​Sécherheet
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Séchert Iwwerall

Source: https://www.rack911labs.com


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

E Kommentar, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   guillermoivan sot

    déi opfällegst ... ass wéi Ramsomware sech am Moment verbreet an datt AV Entwéckler 6 Méint brauchen fir e Patch ëmzesetzen ...