Večino protivirusnih programov lahko onemogočite s simboličnimi povezavami

Darkcrizt

4 minut

utaja-protivirusna programska oprema

Včeraj je RACK911 Laboratorijski raziskovalci, se strinjamn na svojem blogu, objavi, v kateri so objavili del njegove raziskave, ki kaže, da skoraj vse paketov protivirusni programi za Windows, Linux in macOS so bili ranljivi za napade, ki manipulirajo z dirkalnimi pogoji in hkrati odstranjujejo datoteke, ki vsebujejo zlonamerno programsko opremo.

V vaši objavi pokažejo, da morate za izvedbo napada prenesti datoteko da antivirus prepozna kot zlonamerno (na primer lahko uporabite testni podpis) in po določenem času, potem ko protivirusni program zazna zlonamerno datoteko  tik preden pokliče funkcijo, da jo odstrani, datoteka izvede določene spremembe.

Večina protivirusnih programov ne upošteva majhnega časovnega intervala med začetnim pregledom datoteke, ki zazna zlonamerno datoteko, in postopkom čiščenja, ki se izvede takoj zatem.

Zlonamerni lokalni uporabnik ali avtor zlonamerne programske opreme lahko pogosto izvede dirkalno stanje prek stika imenika (Windows) ali simbolične povezave (Linux in macOS), ki izkorišča privilegirane datoteke, da onemogoči protivirusno programsko opremo ali moti z operacijskim sistemom za obdelavo.

V sistemu Windows se spremeni imenik z uporabo imenika join. Medtem ko je na Linuxu in Macosu, lahko naredimo podoben trik spreminjanje imenika na povezavo "/ etc".

Težava je v tem, da skoraj vsi protivirusni programi niso pravilno preverili simboličnih povezav in ker so izbrisali zlonamerno datoteko, so datoteko izbrisali v imeniku, na katerega opozarja simbolična povezava.

V Linuxu in macOS se kaže kako na ta način uporabnik brez privilegijev lahko iz sistema odstranite / etc / passwd ali katero koli drugo datoteko v sistemu Windows pa knjižnico DDL protivirusnega programa, da blokira njegovo delovanje (v sistemu Windows je napad omejen le z brisanjem datotek, ki jih drugi uporabniki trenutno ne uporabljajo).

Napadalec lahko na primer ustvari direktorij exploits in naloži datoteko EpSecApiLib.dll s podpisom testa virusa, nato pa direktorij exploits zamenja s simbolično povezavo, preden odstrani platformo, ki bo iz imenika odstranila knjižnico EpSecApiLib.dll. protivirusni program.

Poleg tega, veliko protivirusnih programov za Linux in macOS je razkrilo uporabo predvidljivih imen datotek pri delu z začasnimi datotekami v imeniku / tmp in / private tmp, s katerimi bi lahko povečali privilegije za korenskega uporabnika.

Do danes je večina ponudnikov težave že odpravila, Vendar je treba opozoriti, da so bila prva obvestila o težavi razvijalcem poslana jeseni 2018.

V naših testih za Windows, macOS in Linux smo lahko zlahka odstranili pomembne datoteke, povezane s protivirusnimi programi, zaradi katerih je bila neučinkovita, in celo odstranili ključne datoteke operacijskega sistema, ki bi povzročile znatno korupcijo, ki bi zahtevala popolno ponovno namestitev operacijskega sistema.

Čeprav niso vsi izdali posodobitev, so vsaj 6 mesecev prejeli popravek in laboratorij RACK911 verjame, da imate zdaj pravico razkriti informacije o ranljivostih.

Opozoriti je treba, da laboratorij RACK911 že dolgo dela na prepoznavanju ranljivosti, vendar ni predvideval, da bo tako težko sodelovati s kolegi v protivirusni industriji zaradi zapoznele izdaje posodobitev in neupoštevanja potrebe po nujnem odpravljanju varnostnih težav.

Omenjeni so izdelki, na katere ta težava vpliva na naslednje:

Linux

  • BitDefender GravityZone
  • Varnost končne točke Comodo
  • Varnost datotečnega strežnika Eset
  • Varnost F-Secure Linux
  • Kaspersy Endpoint Security
  • Varnost McAfee Endpoint
  • Sophos Anti-Virus za Linux

Windows

  • Brezplačni antivirusni program Avast
  • Brezplačen protivirusni program Avira
  • BitDefender GravityZone
  • Varnost končne točke Comodo
  • Zaščita računalnika F-Secure
  • Varnost končne točke FireEye
  • Prestrezanje X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes za Windows
  • Varnost McAfee Endpoint
  • Panda kupola
  • Webroot Secure kjerkoli

MacOS

  • AVG
  • BitDefender Popolna varnost
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Secure kjerkoli

vir: https://www.rack911labs.com


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   guillermoivan je dejal
    nazaj 4 let

    najbolj presenetljivo ... je, kako se trenutno širi ramsomware in da razvijalci AV potrebujejo 6 mesecev za izvedbo popravka ...

    Odgovori guillermoivanu