Sebilangan besar antivirus boleh dilumpuhkan menggunakan pautan simbolik

Darkcrizt

Minit 4

mengelak-perisian antivirus

Semalam, Penyelidik makmal RACK911, saya kongsikandi blog mereka, catatan di mana mereka mengeluarkan sebahagian daripada kajiannya menunjukkan bahawa hampir semua bungkusan dari antivirus untuk Windows, Linux dan macOS terdedah kepada serangan yang memanipulasi keadaan perlumbaan sambil membuang fail yang mengandungi perisian hasad.

Dalam catatan anda tunjukkan bahawa untuk melakukan serangan, anda perlu memuat turun fail bahawa antivirus diakui sebagai berniat jahat (misalnya, tandatangan ujian boleh digunakan) dan setelah masa tertentu, setelah antivirus mengesan fail jahat  sebelum memanggil fungsi untuk menghapusnya, fail bertindak untuk membuat perubahan tertentu.

Apa yang tidak diambil kira oleh kebanyakan program antivirus adalah selang waktu kecil antara imbasan awal fail yang mengesan fail berbahaya dan operasi pembersihan yang dilakukan sejurus kemudian.

Pengguna tempatan atau pengarang perisian hasad sering dapat melakukan keadaan perlumbaan melalui persimpangan direktori (Windows) atau symlink (Linux dan macOS) yang memanfaatkan operasi fail istimewa untuk mematikan perisian antivirus atau mengganggu dengan sistem operasi untuk memprosesnya.

Di Windows perubahan direktori dibuat menggunakan gabungan direktori. manakala pada Linux dan Macos, anda boleh melakukan muslihat yang serupa menukar direktori ke pautan "/ etc".

Masalahnya ialah hampir semua antivirus tidak memeriksa pautan simbolik dengan betul dan mengingat bahawa mereka menghapus fail yang berniat jahat, mereka menghapus fail tersebut di direktori yang ditunjukkan oleh pautan simbolik.

Pada Linux dan macOS, ia menunjukkan bagaimana dengan cara ini pengguna tanpa hak istimewa anda boleh membuang / etc / passwd atau fail lain dari sistem dan di Windows pustaka DDL antivirus untuk menyekat pengoperasiannya (di Windows, serangan hanya dibatasi dengan menghapus fail yang tidak digunakan oleh pengguna lain) aplikasi).

Sebagai contoh, penyerang dapat membuat direktori eksploitasi dan memuatkan fail EpSecApiLib.dll dengan tandatangan ujian virus dan kemudian mengganti direktori eksploitasi dengan pautan simbolik sebelum menyahpasang platform yang akan menghapus perpustakaan EpSecApiLib.dll dari direktori. antivirus.

Selain itu, banyak antivirus untuk Linux dan macOS mendedahkan penggunaan nama fail yang dapat diramalkan ketika bekerja dengan fail sementara di direktori / tmp dan / tmp peribadi, yang dapat digunakan untuk meningkatkan hak istimewa untuk pengguna root.

Sehingga kini, kebanyakan penyedia sudah menghilangkan masalah, Tetapi harus diperhatikan bahawa pemberitahuan pertama mengenai masalah itu dikirimkan kepada pemaju pada musim gugur 2018.

Dalam ujian kami pada Windows, macOS, dan Linux, kami dapat dengan mudah membuang fail penting yang berkaitan dengan antivirus yang menjadikannya tidak berkesan dan bahkan membuang fail sistem operasi utama yang akan menyebabkan kerosakan besar yang memerlukan pemasangan semula sistem operasi sepenuhnya.

Walaupun tidak semua orang mengeluarkan kemas kini, mereka mendapat perbaikan sekurang-kurangnya 6 bulan, dan RACK911 Labs percaya bahawa anda sekarang berhak untuk mendedahkan maklumat mengenai kelemahan.

Telah diperhatikan bahawa Makmal RACK911 telah lama melakukan pengenalpastian kerentanan, tetapi tidak menjangka bahawa akan sangat sukar untuk bekerja dengan rakan sekerja dalam industri antivirus kerana pelepasan kemas kini yang tertunda dan mengabaikan keperluan untuk segera menyelesaikan masalah keselamatan.

Dari produk yang terjejas oleh masalah ini disebutkan kepada yang berikut:

Linux

  • BitDefender GravityZone
  • Keselamatan Titik Akhir Comodo
  • Keselamatan Pelayan Fail Eset
  • Keselamatan Linux F-Secure
  • Keselamatan Titik Akhir Kaspersy
  • Keselamatan Titik Akhir McAfee
  • Sophos Anti-Virus untuk Linux

Windows

  • Anti-Virus Percuma Avast
  • Anti Virus Avira Percuma
  • BitDefender GravityZone
  • Keselamatan Titik Akhir Comodo
  • Perlindungan Komputer F-Secure
  • Keselamatan Titik Akhir FireEye
  • Pintas X (Sophos)
  • Keselamatan Titik Akhir Kaspersky
  • Malwarebytes untuk Windows
  • Keselamatan Titik Akhir McAfee
  • Kubah Panda
  • Webroot Selamat Di Mana sahaja

MacOS

  • AVG
  • Keselamatan Keseluruhan BitDefender
  • Eset Keselamatan Siber
  • Kaspersky Internet Security
  • Perlindungan Jumlah McAfee
  • Pembela Microsoft (BETA)
  • Norton Security
  • Rumah Sophos
  • Webroot Selamat Di Mana sahaja

Fuente: https://www.rack911labs.com


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   guillermoivan kata
    membuat 4 tahun

    yang paling mencolok ... adalah bagaimana ramsomware kini tersebar dan pembangun AV memerlukan masa 6 bulan untuk melaksanakan patch ...

    Balas guillermoivan