Daugumą antivirusinių programų galima išjungti simbolinėmis nuorodomis

Darkcrizt

4 minučių

vengianti antivirusinė programinė įranga

Vakar RACK911 Labs tyrinėtojai, dalinuosin savo tinklaraštyje - įrašas, kurį jie išleido dalis jo tyrimų rodo, kad beveik visi pakuotės „Windows“, „Linux“ ir „MacOS“ antivirusai buvo pažeidžiami atakoms, kurios manipuliuoja varžybų sąlygomis, pašalindamos failus, kuriuose yra kenkėjiškų programų.

Jūsų įraše parodykite, kad norėdami įvykdyti ataką, turite atsisiųsti failą kad antivirusas atpažįsta kaip kenkėjišką (pavyzdžiui, gali būti naudojamas bandomasis parašas) ir po tam tikro laiko, antivirusinei programai aptikus kenksmingą failą  prieš pat iškviečiant funkciją, kad ji būtų pašalinta, failas veikia tam tikrus pakeitimus.

Į tai, ko dauguma antivirusinių programų neatsižvelgia, yra nedidelis laiko tarpas tarp pradinio failo nuskaitymo, kuriame aptinkamas kenksmingas failas, ir valymo operacijos, kuri atliekama iškart po to.

Kenkėjiškas vietinis vartotojas ar kenkėjiškų programų autorius dažnai gali atlikti varžybų sąlygas naudodamasis katalogų sankryža („Windows“) arba simboline nuoroda („Linux“ ir „MacOS“), kurios naudojasi privilegijuotomis failų operacijomis, kad išjungtų antivirusinę programinę įrangą arba trukdytų. su operacine sistema ją apdoroti.

„Windows“ sistemoje atliekamas katalogo pakeitimas naudojant katalogo prisijungimą. O „Linux“ ir „Macos“, galima padaryti panašų triuką pakeisti katalogą į nuorodą "/ etc".

Problema ta, kad beveik visi antivirusai neteisingai patikrino simbolines nuorodas ir manydami, kad jie ištrina kenksmingą failą, jie ištrynė failą kataloge, kurį nurodo simbolinė nuoroda.

Tai rodo „Linux“ ir „MacOS“ kaip tokiu būdu vartotojas be privilegijų galite pašalinti / etc / passwd ar bet kurį kitą failą iš sistemos o sistemoje „Windows“ - antivirusinės programos DDL biblioteka, blokuojanti jos veikimą (sistemoje „Windows“ ataka ribojama tik ištrinant failus, kurių kiti vartotojai šiuo metu nenaudoja).

Pvz., Užpuolikas gali sukurti išnaudojimo katalogą ir įkelti failą „EpSecApiLib.dll“ su viruso testo parašu, o tada prieš naudodamasis platforma, kuri pašalins „EpSecApiLib.dll“ biblioteką iš katalogo, išnaudojimo katalogą pakeisti simboline nuoroda. antivirusas.

Be to, daugelis antivirusinių programų, skirtų „Linux“ ir „MacOS“, atskleidė nuspėjamų failų vardų naudojimą dirbant su laikinais failais kataloguose / tmp ir / private tmp, kurie gali būti naudojami norint padidinti root vartotojo teises.

Iki šiol dauguma paslaugų teikėjų jau pašalino problemas, Tačiau reikia pažymėti, kad pirmieji pranešimai apie problemą kūrėjams buvo išsiųsti 2018 m. Rudenį.

Atlikdami „Windows“, „macOS“ ir „Linux“ bandymus, mes sugebėjome lengvai pašalinti svarbius su antivirusine susijusius failus, kurie tapo neveiksmingi, ir netgi pašalinti pagrindinius operacinės sistemos failus, kurie sukeltų didelę korupciją, dėl kurios reikės visiškai iš naujo įdiegti operacinę sistemą.

Nors ne visi išleido atnaujinimus, jie gavo pataisymą mažiausiai 6 mėnesiams, o „RACK911 Labs“ mano, kad dabar jūs turite teisę atskleisti informaciją apie pažeidžiamumą.

Pažymima, kad „RACK911 Labs“ ilgą laiką dirbo nustatydama pažeidžiamumus, tačiau nenumatė, kad dėl uždelsto atnaujinimų išleidimo ir ignoruojant poreikį skubiai išspręsti saugos problemas bus taip sunku dirbti su kolegomis antivirusinėje pramonėje.

Minimi produktai, kuriuos paveikė ši problema prie šių:

Linux

  • „BitDefender GravityZone“
  • „Comodo Endpoint Security“
  • „Eset File Server Security“
  • „F-Secure Linux Security“
  • „Kaspersy Endpoint Security“
  • „McAfee Endpoint Security“
  • „Sophos Anti-Virus“, skirta „Linux“

Windows

  • „Avast Free Anti-Virus“
  • „Avira Free Anti-Virus“
  • „BitDefender GravityZone“
  • „Comodo Endpoint Security“
  • „F-Secure“ kompiuterio apsauga
  • „FireEye Endpoint Security“
  • X perėmėjas („Sophos“)
  • „Kaspersky Endpoint Security“
  • „Malwarebytes“, skirta „Windows“
  • „McAfee Endpoint Security“
  • Pandos kupolas
  • „Webroot Secure Anywhere“

MacOS

  • AVG
  • „BitDefender“ visiškas saugumas
  • „Eset Cyber ​​Security“
  • "Kaspersky Internet Security"
  • „McAfee Total Protection“
  • „Microsoft Defender“ (BETA)
  • "Norton Security"
  • Sophos Home
  • „Webroot Secure Anywhere“

Fuente: https://www.rack911labs.com


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   guillermoivanas sakė
    prieš 4 metai

    ryškiausias ... tai, kaip šiuo metu plinta „ramsomware“ ir kad AV kūrėjams reikia 6 mėnesių įdiegti pataisą ...

    Atsakyti į guillermoivan