Shumica e antivirusëve mund të çaktivizohen nga lidhje simbolike

Darkcrizt

Minuta 4

softuer shmangie-antivirus

Dje, Unë ndaj studiuesit e RACK911 Labsn në blogun e tyre, një postim në të cilin ata lëshuan pjesë e hulumtimit të tij që tregon se pothuajse të gjitha paketat e antivirus për Windows, Linux dhe macOS ishin të prekshëm ndaj sulmeve që manipulojnë kushtet e racës ndërsa heqin skedarët që përmbajnë malware.

Në postimin tuaj tregojnë se për të kryer një sulm, duhet të shkarkoni një skedar që antivirusi e njeh si të dëmshëm (për shembull, mund të përdoret një nënshkrim prove) dhe pas një kohe të caktuar, pasi antivirus zbulon skedarin me qëllim të keq  menjëherë përpara thirrjes së funksionit për ta hequr atë, skedari vepron për të bërë ndryshime të caktuara.

Ajo që shumica e programeve antivirus nuk marrin parasysh është intervali i vogël kohor midis skanimit fillestar të skedarit që zbulon skedarin me qëllim të keq dhe operacionit të pastrimit që kryhet menjëherë më pas.

Një përdorues lokal me qëllim të keq ose një autor malware shpesh mund të kryejë një gjendje gare përmes një kryqëzimi direktorie (Windows) ose një lidhjeje simbolike (Linux dhe macOS) që përfiton nga operacionet e skedarëve të privilegjuar për të çaktivizuar softuerin antivirus ose për të ndërhyrë në sistemin operativ për ta përpunuar atë.

Në Windows bëhet një ndryshim i direktorisë duke përdorur një bashkim direktorie. Mientras que në Linux dhe Macos, ju mund të bëni një hile të ngjashme ndryshimi i direktorisë në lidhjen "/ etj".

Problemi është se pothuajse të gjithë antivirusët nuk i kontrolluan saktë lidhjet simbolike dhe duke marrë parasysh që po fshinin një skedar me qëllim të keq, ata fshinë skedarin në direktorinë e treguar nga lidhja simbolike.

Në Linux dhe macOS tregon si në këtë mënyrë një përdorues pa privilegje ju mund të hiqni / etc / passwd ose ndonjë skedar tjetër nga sistemi dhe në Windows biblioteka DDL e antivirusit për të bllokuar funksionimin e tij (në Windows, sulmi është i kufizuar vetëm duke fshirë skedarë që përdoruesit e tjerë nuk i përdorin aktualisht) aplikacione).

Për shembull, një sulmues mund të krijojë një direktori shfrytëzimesh dhe të ngarkojë skedarin EpSecApiLib.dll me nënshkrimin e testit të virusit dhe pastaj të zëvendësojë direktorinë e shfrytëzimeve me lidhjen simbolike përpara se të çinstalojë platformën e cila do të heqë bibliotekën EpSecApiLib.dll nga direktoria.

Përveç kësaj, shumë antivirus për Linux dhe macOS zbuluan përdorimin e emrave të skedarëve të parashikueshëm kur punoni me skedarë të përkohshëm në drejtorinë / tmp dhe / privat tmp, të cilat mund të përdoren për të rritur privilegjet për përdoruesin rrënjë.

Deri më sot, shumica e ofruesve i kanë eleminuar problemet, Por duhet të theksohet se njoftimet e para të problemit u janë dërguar zhvilluesve në vjeshtën e vitit 2018.

Në testet tona në Windows, macOS dhe Linux, ne ishim në gjendje të hiqnim lehtësisht skedarë të rëndësishëm të lidhur me antivirus që e bënin atë joefektiv dhe madje të hiqnim skedarët kryesorë të sistemit operativ që do të shkaktonin korrupsion të rëndësishëm që do të kërkonte një riinstalim të plotë të sistemit operativ.

Megjithëse jo të gjithë lëshuan azhurnimet, ata morën një rregullim për të paktën 6 muaj dhe RACK911 Labs beson se tani keni të drejtë të zbuloni informacione në lidhje me dobësitë.

Itshtë vërejtur se RACK911 Labs ka punuar në identifikimin e cenueshmërisë për një kohë të gjatë, por nuk parashikoi që do të ishte kaq e vështirë të punoje me kolegë në industrinë antivirus për shkak të lëshimit të vonuar të azhurnimeve dhe duke injoruar nevojën për të rregulluar urgjentisht çështjet e sigurisë .

Përmenden produktet e prekura nga ky problem në vijim:

Linux

  • Zona e Gravitetit BitDefender
  • Komodo Endpoint Security
  • Siguria e serverit të skedarëve Eset
  • F-Siguria e Sigurt Linux
  • Kaspersy Endpoint Security
  • Siguria e pikës fundore të McAfee
  • Anti-Virus Sophos për Linux

Dritaret

  • Antivirus falas Avast
  • Avira Pa Anti-Virus
  • Zona e Gravitetit BitDefender
  • Komodo Endpoint Security
  • F-Sigurt Mbrojtja e Kompjuterit
  • Siguria e pikës fundore të FireEye
  • Ndërpres X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes për Windows
  • Siguria e pikës fundore të McAfee
  • Kupolë panda
  • Sigurt Webroot kudo

MacOS

  • AVG
  • Siguria totale e BitDefender
  • Siguria Kibernetike Eset
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Faqja Sophos
  • Sigurt Webroot kudo

Fuente: https://www.rack911labs.com


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   guillermoivan dijo
    më parë Vjet 4

    më e habitshmja… është mënyra se si aktualisht po përhapet ramsomware dhe që zhvilluesve të AV-së u duhen 6 muaj për të zbatuar një patch

    Përgjigju guillermoivan