Większość programów antywirusowych można wyłączyć za pomocą dowiązań symbolicznych

unikanie oprogramowania antywirusowego

Wczoraj Badacze RACK911 Labs, podzielamn na swoim blogu, post, w którym opublikowali część jego badań pokazuje, że prawie wszyscy pakiety antywirusy dla systemów Windows, Linux i macOS były podatne na ataki na ataki, które manipulują warunkami wyścigu, jednocześnie usuwając pliki zawierające złośliwe oprogramowanie.

W swoim poście pokaż, że aby przeprowadzić atak, musisz pobrać plik że program antywirusowy rozpoznaje jako złośliwy (na przykład można użyć podpisu testowego) i po pewnym czasie, po wykryciu przez program antywirusowy złośliwego pliku  bezpośrednio przed wywołaniem funkcji w celu jej usunięcia plik działa w celu wprowadzenia pewnych zmian.

Większość programów antywirusowych nie bierze pod uwagę krótkiego odstępu czasu między początkowym skanowaniem pliku, w którym wykryto szkodliwy plik, a operacją czyszczenia wykonywaną bezpośrednio po nim.

Złośliwy użytkownik lokalny lub autor złośliwego oprogramowania często może przeprowadzić wyścig za pośrednictwem połączenia katalogów (Windows) lub łącza symbolicznego (Linux i macOS), które wykorzystuje uprzywilejowane operacje na plikach w celu wyłączenia oprogramowania antywirusowego lub ingerencji z systemem operacyjnym, aby go przetworzyć.

W systemie Windows następuje zmiana katalogu za pomocą łączenia katalogów. Podczas w systemie Linux i Macos, można zrobić podobną sztuczkę zmiana katalogu na link "/ etc".

Problem polega na tym, że prawie wszystkie programy antywirusowe nie sprawdzały poprawnie dowiązań symbolicznych i biorąc pod uwagę, że usuwały szkodliwy plik, usuwały plik z katalogu wskazanego przez dowiązanie symboliczne.

W systemie Linux i macOS to widać jak w ten sposób użytkownik bez uprawnień możesz usunąć / etc / passwd lub jakikolwiek inny plik z systemu aw systemie Windows biblioteka DDL programu antywirusowego do blokowania jego działania (w systemie Windows atak ogranicza się tylko do usunięcia plików, z których inni użytkownicy aktualnie nie korzystają) aplikacji).

Na przykład osoba atakująca może utworzyć katalog z exploitami i załadować plik EpSecApiLib.dll z sygnaturą testu wirusów, a następnie zastąpić katalog exploitów dowiązaniem symbolicznym przed odinstalowaniem platformy, co spowoduje usunięcie biblioteki EpSecApiLib.dll z katalogu. antywirus.

Ponadto, wiele programów antywirusowych dla systemów Linux i macOS ujawniło użycie przewidywalnych nazw plików podczas pracy z plikami tymczasowymi w katalogach / tmp i / private tmp, które można wykorzystać do zwiększenia uprawnień użytkownika root.

Do tej pory większość dostawców już wyeliminowała problemy, Należy jednak zaznaczyć, że pierwsze powiadomienia o problemie zostały wysłane do twórców jesienią 2018 roku.

W naszych testach w systemie Windows, macOS i Linux byliśmy w stanie łatwo usunąć ważne pliki związane z oprogramowaniem antywirusowym, które czyniły go nieskutecznym, a nawet usunąć kluczowe pliki systemu operacyjnego, które spowodowałyby znaczne uszkodzenia, które wymagałyby całkowitej ponownej instalacji systemu operacyjnego.

Chociaż nie wszyscy opublikowali aktualizacje, otrzymali poprawkę na co najmniej 6 miesięcy, a RACK911 Labs uważa, że ​​masz teraz prawo do ujawniania informacji o lukach w zabezpieczeniach.

Należy zauważyć, że firma RACK911 Labs od dawna pracuje nad identyfikacją luk w zabezpieczeniach, ale nie przewidywała, że ​​współpraca z kolegami z branży antywirusowej będzie tak trudna ze względu na opóźnione publikowanie aktualizacji i ignorowanie konieczności pilnego naprawienia problemów z bezpieczeństwem.

Wymieniono produkty, których dotyczy ten problem do następujących:

Linux

  • BitDefender GravityZone
  • Ochrona punktów końcowych Comodo
  • Bezpieczeństwo serwera plików ESET
  • Bezpieczeństwo F-Secure Linux
  • Kaspersky Endpoint Security
  • Bezpieczeństwo punktów końcowych McAfee
  • Sophos Anti-Virus dla systemu Linux

Windows

  • Avast darmowy antywirus
  • Avira darmowy antywirus
  • BitDefender GravityZone
  • Ochrona punktów końcowych Comodo
  • Ochrona komputera F-Secure
  • Bezpieczeństwo punktów końcowych FireEye
  • Przechwyć X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes dla Windows
  • Bezpieczeństwo punktów końcowych McAfee
  • Kopuła Pandy
  • Webroot Bezpieczny w dowolnym miejscu!

MacOS

  • AVG
  • Całkowite bezpieczeństwo BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Bezpieczeństwo
  • Sophos Home
  • Webroot Bezpieczny w dowolnym miejscu!

źródło: https://www.rack911labs.com


Komentarz, zostaw swój

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Guillermoivan powiedział

    najbardziej uderzające… jest to, jak obecnie rozprzestrzenia się oprogramowanie ramsomware i że programiści AV potrzebują 6 miesięcy na wdrożenie poprawki…