A maioria dos antivírus pode ser desativada por links simbólicos

Darkcrizt

Minutos 4

evadindo-software-antivírus

Ontem, o Pesquisadores do RACK911 Labs, eu compartilhoem seu blog, uma postagem em que lançaram parte de sua pesquisa mostrando que quase todos os pacotes de antivírus para Windows, Linux e macOS eram vulneráveis a ataques que manipulam as condições da corrida ao remover arquivos contendo malware.

Em sua postagem mostrar que para realizar um ataque, você precisa baixar um arquivo que o antivírus reconhece como malicioso (por exemplo, uma assinatura de teste pode ser usada) e depois de um certo tempo, depois que o antivírus detecta o arquivo malicioso  imediatamente antes de chamar a função para removê-lo, o arquivo atua para fazer certas alterações.

O que a maioria dos programas antivírus não leva em consideração é o pequeno intervalo de tempo entre a verificação inicial do arquivo que detecta o arquivo malicioso e a operação de limpeza que é realizada imediatamente depois.

Um usuário local mal-intencionado ou autor de malware pode muitas vezes executar uma condição de corrida por meio de uma junção de diretório (Windows) ou link simbólico (Linux e macOS) que aproveita as operações de arquivo privilegiadas para desativar o software antivírus ou interferir no sistema operacional para processá-lo.

No Windows, é feita uma mudança de diretório usando uma junção de diretório. Enquanto no Linux e Macos, um truque semelhante pode ser feito alterando o diretório para o link "/ etc".

O problema é que quase todos os antivírus não checaram os links simbólicos corretamente e, considerando que estavam apagando um arquivo malicioso, apagaram o arquivo do diretório indicado pelo link simbólico.

No Linux e macOS, mostra como desta forma um usuário sem privilégios você pode remover / etc / passwd ou qualquer outro arquivo do sistema e no Windows a biblioteca DDL do antivírus para bloquear seu funcionamento (no Windows, o ataque é limitado apenas pela exclusão de arquivos que outros usuários não usam atualmente) aplicativos).

Por exemplo, um invasor pode criar um diretório de exploits e carregar o arquivo EpSecApiLib.dll com a assinatura de teste de vírus e então substituir o diretório de exploits pelo link simbólico antes de desinstalar a plataforma que removerá a biblioteca EpSecApiLib.dll do diretório. antivírus.

Além disso, muitos antivírus para Linux e macOS revelaram o uso de nomes de arquivo previsíveis ao trabalhar com arquivos temporários no diretório / tmp e / private tmp, que podem ser usados ​​para aumentar os privilégios para o usuário root.

Até o momento, a maioria dos provedores já eliminou os problemas, Mas deve-se notar que as primeiras notificações do problema foram enviadas aos desenvolvedores no outono de 2018.

Em nossos testes no Windows, macOS e Linux, fomos capazes de remover facilmente arquivos importantes relacionados a antivírus que o tornavam ineficaz e até mesmo remover os principais arquivos do sistema operacional que causariam corrupção significativa que exigiria uma reinstalação completa do sistema operacional.

Mesmo que nem todos tenham lançado as atualizações, eles receberam uma correção por pelo menos 6 meses, e o RACK911 Labs acredita que agora você tem o direito de divulgar informações sobre vulnerabilidades.

Observa-se que RACK911 Labs tem trabalhado na identificação de vulnerabilidades por um longo tempo, mas não previu que seria tão difícil trabalhar com colegas na indústria de antivírus devido ao lançamento atrasado de atualizações e ignorando a necessidade de corrigir problemas de segurança urgentemente .

Dos produtos afetados por este problema são mencionados para o seguinte:

Linux

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Segurança do servidor de arquivos Eset
  • Segurança Linux F-Secure
  • Segurança de terminais Kaspersy
  • Segurança de endpoints da McAfee
  • Sophos Anti-Virus para Linux

Windows

  • Avast antivírus gratuito
  • Avira, antivírus gratuito
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Proteção de computador F-Secure
  • Segurança de endpoints FireEye
  • Interceptar X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes para Windows
  • Segurança de endpoints da McAfee
  • Cúpula panda
  • Webroot seguro em qualquer lugar

MacOS

  • AVG
  • Segurança Total BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot seguro em qualquer lugar

fonte: https://www.rack911labs.com


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Guilhermeivan dito
    atrás Anos 4

    o mais impressionante ... é como o ramsomware está se espalhando atualmente e que os desenvolvedores de AV levam 6 meses para implementar um patch ...

    Responder a Guillermoivan