Det meste antivirusprogrammet kan deaktiveres av symbolske lenker

Darkcrizt

4 minutter

unngå-antivirus-programvare

I går, den RACK911 Labs-forskere, deler jegn på bloggen sin, et innlegg der de ga ut en del av hans forskning som viser at nesten alle pakkene med antivirus for Windows, Linux og macOS var sårbare til angrep som manipulerer løpsforhold mens du fjerner filer som inneholder skadelig programvare.

I innlegget ditt viser at du må laste ned en fil for å utføre et angrep at antivirusprogrammet gjenkjenner seg som skadelig (for eksempel kan en testsignatur brukes) og etter en viss tid, etter at antivirusprogrammet oppdager den ondsinnede filen  umiddelbart før du ringer til funksjonen for å fjerne den, fungerer filen for å gjøre visse endringer.

Det de fleste antivirusprogrammer ikke tar hensyn til, er det lille tidsintervallet mellom den første skanningen av filen som oppdager den ondsinnede filen og oppryddingsoperasjonen som utføres umiddelbart etterpå.

En ondsinnet lokal bruker eller forfatter av skadelig programvare kan ofte utføre en løpetilstand via et katalogkryss (Windows) eller symlink (Linux og macOS) som benytter seg av privilegerte filoperasjoner for å deaktivere antivirusprogramvare eller forstyrre operativsystemet for å behandle det.

I Windows foretas en katalogendring ved hjelp av en katalogtilkobling. Mens på Linux og Macos, du kan gjøre et lignende triks endre katalog til "/ etc" lenke.

Problemet er at nesten alt antivirusprogram ikke sjekket de symbolske koblingene riktig, og med tanke på at de slettet en ondsinnet fil, slettet de filen i katalogen som er angitt av den symbolske lenken.

På Linux og macOS viser det det hvordan på denne måten en bruker uten privilegier du kan fjerne / etc / passwd eller andre filer fra systemet og i Windows DDL-biblioteket til antivirusprogrammet for å blokkere driften (i Windows er angrepet begrenset bare ved å slette filer som andre brukere ikke bruker for øyeblikket) applikasjoner).

For eksempel kan en angriper opprette en utnyttelseskatalog og laste EpSecApiLib.dll-filen med virustestsignaturen og deretter erstatte utnyttelseskatalogen med den symbolske lenken før du avinstallerer plattformen som vil fjerne EpSecApiLib.dll-biblioteket fra katalogen. Antivirus.

Videre mange antivirusprogrammer for Linux og macOS avslørte bruken av forutsigbare filnavn når du arbeider med midlertidige filer i / tmp og / private tmp-katalogen, som kan brukes til å øke rettighetene til rotbrukeren.

Til dags dato har de fleste leverandører allerede eliminert problemene, Men det skal bemerkes at de første varslene om problemet ble sendt til utviklerne høsten 2018.

I testene våre på Windows, macOS og Linux klarte vi enkelt å fjerne viktige antivirusrelaterte filer som gjorde det ineffektivt, og til og med fjerne viktige operativsystemfiler som ville forårsake betydelig korrupsjon som ville kreve en fullstendig installering av operativsystemet.

Selv om ikke alle ga ut oppdateringene, mottok de en løsning i minst 6 måneder, og RACK911 Labs mener at du nå har rett til å avsløre informasjon om sårbarheter.

Det bemerkes at RACK911 Labs har jobbet med sårbarhetsidentifikasjon i lang tid, men forventet ikke at det ville være så vanskelig å jobbe med kolleger i antivirusindustrien på grunn av forsinket utgivelse av oppdateringer og ignorerer behovet for å raskt løse sikkerhetsproblemer .

Av produktene som er berørt av dette problemet er nevnt til følgende:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset filserversikkerhet
  • F-Secure Linux-sikkerhet
  • Kaspersy endepunktssikkerhet
  • McAfee Endpoint Security
  • Sophos antivirus for Linux

Windows

  • Avast gratis antivirus
  • Avira gratis antivirus
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure Databeskyttelse
  • FireEye Endpoint Security
  • InterceptX (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes for Windows
  • McAfee Endpoint Security
  • Panda kuppel
  • Webroot Secure Anywhere

MacOS

  • AVG
  • BitDefender Total sikkerhet
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Secure Anywhere

Fuente: https://www.rack911labs.com


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   guillermoivan sa
    hace 4 år

    det mest slående ... er hvordan ramsomware for tiden spres, og at AV-utviklere tar 6 måneder på å implementere en oppdatering ...

    Svar på guillermoivan