De meeste antivirusprogramma's kunnen worden uitgeschakeld met symbolische koppelingen

Darkcrizt

4 minuten

ontwijken-antivirus-software

Gisteren heeft de RACK911 Labs-onderzoekers, deel ikn op hun blog, een bericht waarin ze zijn uitgebracht uit een deel van zijn onderzoek blijkt dat bijna alles de pakketten van antivirus voor Windows, Linux en macOS waren kwetsbaar op aanvallen die racevoorwaarden manipuleren terwijl bestanden met malware worden verwijderd.

In je post laat zien dat je een bestand moet downloaden om een ​​aanval uit te voeren die de antivirus herkent als schadelijk (er kan bijvoorbeeld een testsignatuur worden gebruikt) en na een bepaalde tijd, nadat de antivirus het schadelijke bestand heeft gedetecteerd  onmiddellijk voordat de functie wordt aangeroepen om het te verwijderen, handelt het bestand om bepaalde wijzigingen aan te brengen.

Waar de meeste antivirusprogramma's geen rekening mee houden, is het korte tijdsinterval tussen de eerste scan van het bestand dat het schadelijke bestand detecteert en de opruimactie die onmiddellijk daarna wordt uitgevoerd.

Een kwaadwillende lokale gebruiker of malwareauteur kan vaak een race-conditie uitvoeren via een directory-junction (Windows) of symlink (Linux en macOS) die gebruik maakt van geprivilegieerde bestandsbewerkingen om antivirussoftware uit te schakelen of het besturingssysteem te verstoren om deze te verwerken.

In Windows wordt een mapwijziging doorgevoerd met behulp van een directory-join. Terwijl op Linux en Macos, een soortgelijke truc kan worden gedaan veranderende directory naar "/ etc" link.

Het probleem is dat bijna alle antivirusprogramma's de symbolische koppelingen niet correct hebben gecontroleerd en aangezien ze een schadelijk bestand aan het verwijderen waren, hebben ze het bestand verwijderd in de map die wordt aangegeven door de symbolische koppeling.

Op Linux en macOS wordt het weergegeven hoe op deze manier een gebruiker zonder privileges u kunt / etc / passwd of elk ander bestand van het systeem verwijderen en in Windows de DDL-bibliotheek van de antivirus om de werking ervan te blokkeren (in Windows wordt de aanval alleen beperkt door het verwijderen van bestanden die andere gebruikers momenteel niet gebruiken) toepassingen).

Een aanvaller kan bijvoorbeeld een exploits-directory maken en het EpSecApiLib.dll-bestand laden met de virustesthandtekening en vervolgens de exploits-directory vervangen door de symbolische link voordat hij het platform verwijdert, waardoor de EpSecApiLib.dll-bibliotheek uit de directory wordt verwijderd. Antivirus.

Bovendien heeft veel antivirusprogramma's voor Linux en macOS onthulden het gebruik van voorspelbare bestandsnamen bij het werken met tijdelijke bestanden in de / tmp en / private tmp directory, die gebruikt kunnen worden om de rechten voor de root gebruiker te verhogen.

Tot op heden hebben de meeste providers de problemen al opgelost, Maar er moet worden opgemerkt dat de eerste meldingen van het probleem in het najaar van 2018 naar de ontwikkelaars zijn gestuurd.

In onze tests op Windows, macOS en Linux waren we in staat om gemakkelijk belangrijke antivirus-gerelateerde bestanden te verwijderen die het ondoelmatig maakten, en zelfs belangrijke besturingssysteembestanden te verwijderen die aanzienlijke corruptie zouden veroorzaken waarvoor een volledige herinstallatie van het besturingssysteem nodig zou zijn.

Hoewel niet iedereen de updates heeft uitgebracht, hebben ze gedurende ten minste 6 maanden een oplossing ontvangen en RACK911 Labs is van mening dat je nu het recht hebt om informatie over kwetsbaarheden vrij te geven.

Opgemerkt wordt dat RACK911 Labs al een lange tijd bezig is met het identificeren van kwetsbaarheden, maar niet verwachtte dat het zo moeilijk zou zijn om met collega's in de antivirusindustrie samen te werken vanwege de vertraagde release van updates en het negeren van de noodzaak om dringend beveiligingsproblemen op te lossen .

Van de producten die door dit probleem worden getroffen, worden genoemd Naar het volgende:

Linux

  • BitDefender GravityZone
  • Comodo-eindpuntbeveiliging
  • Eset-bestandsserverbeveiliging
  • F-Secure Linux-beveiliging
  • Kaspersy Endpoint Security
  • McAfee Eindpuntbeveiliging
  • Sophos Anti-Virus voor Linux

Dakramen en raamkozijnen

  • Avast gratis antivirus
  • Avira gratis antivirus
  • BitDefender GravityZone
  • Comodo-eindpuntbeveiliging
  • F-Secure computerbescherming
  • FireEye Endpoint-beveiliging
  • Onderschepp X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes voor Windows
  • McAfee Eindpuntbeveiliging
  • Panda koepel
  • Webroot Secure overal

MacOS

  • AVG
  • BitDefender Totale Beveiliging
  • Eset Cyberbeveiliging
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (bèta)
  • Norton Security
  • Sophos Home
  • Webroot Secure overal

bron: https://www.rack911labs.com


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   guillermoivan zei
    geleden Tot 4 jaar

    het meest opvallende ... is hoe ramsomware zich momenteel verspreidt en dat AV-ontwikkelaars 6 maanden nodig hebben om een ​​patch te implementeren ...

    Reageer op guillermoivan