โปรแกรมป้องกันไวรัสส่วนใหญ่สามารถปิดใช้งานได้โดยใช้ลิงก์สัญลักษณ์

เมื่อวานนี้ ฉันแบ่งปันนักวิจัย RACK911 Labsn ในบล็อกของพวกเขาโพสต์ที่พวกเขาเผยแพร่ ส่วนหนึ่งของการวิจัยของเขาแสดงให้เห็นว่าเกือบทั้งหมด แพ็คเกจของ โปรแกรมป้องกันไวรัสสำหรับ Windows, Linux และ macOS มีช่องโหว่ เพื่อโจมตีที่ปรับเปลี่ยนสภาพการแข่งขันในขณะที่ลบไฟล์ที่มีมัลแวร์

ในโพสต์ของคุณ แสดงว่าในการโจมตีคุณต้องดาวน์โหลดไฟล์ ที่โปรแกรมป้องกันไวรัสรับรู้ว่าเป็นอันตราย (ตัวอย่างเช่นสามารถใช้ลายเซ็นทดสอบได้) และ หลังจากผ่านไประยะหนึ่งหลังจากโปรแกรมป้องกันไวรัสตรวจพบไฟล์ที่เป็นอันตราย  ทันทีก่อนที่จะเรียกใช้ฟังก์ชันเพื่อลบออกไฟล์จะทำการเปลี่ยนแปลงบางอย่าง

สิ่งที่โปรแกรมป้องกันไวรัสส่วนใหญ่ไม่คำนึงถึงคือช่วงเวลาเล็ก ๆ ระหว่างการสแกนไฟล์ครั้งแรกที่ตรวจพบไฟล์ที่เป็นอันตรายและการดำเนินการล้างข้อมูลที่ดำเนินการทันทีหลังจากนั้น

ผู้ใช้ภายในที่เป็นอันตรายหรือผู้เขียนมัลแวร์มักจะสามารถดำเนินการตามเงื่อนไขการแย่งชิงผ่านทางแยกไดเร็กทอรี (Windows) หรือลิงก์สัญลักษณ์ (Linux และ macOS) ที่ใช้ประโยชน์จากการดำเนินการไฟล์ที่มีสิทธิพิเศษเพื่อปิดใช้งานซอฟต์แวร์ป้องกันไวรัสหรือรบกวนระบบปฏิบัติการเพื่อประมวลผล

ใน Windows จะมีการเปลี่ยนไดเร็กทอรี โดยใช้การเข้าร่วมไดเรกทอรี. ในขณะที่ บน Linux และ Macos เคล็ดลับที่คล้ายกันสามารถทำได้ เปลี่ยนไดเร็กทอรีเป็นลิงก์ "/ etc"

ปัญหาคือโปรแกรมป้องกันไวรัสเกือบทั้งหมดไม่ได้ตรวจสอบลิงก์สัญลักษณ์อย่างถูกต้องและพิจารณาว่ากำลังลบไฟล์ที่เป็นอันตรายจึงลบไฟล์ในไดเร็กทอรีที่ระบุโดยลิงก์สัญลักษณ์

บน Linux และ macOS จะแสดง วิธีนี้ผู้ใช้ที่ไม่มีสิทธิ์ คุณสามารถลบ / etc / passwd หรือไฟล์อื่น ๆ ออกจากระบบได้ และใน Windows ไลบรารี DDL ของโปรแกรมป้องกันไวรัสเพื่อบล็อกการทำงานของมัน (ใน Windows การโจมตีจะถูก จำกัด โดยการลบไฟล์ที่ผู้ใช้รายอื่นไม่ได้ใช้งานในปัจจุบันเท่านั้น)

ตัวอย่างเช่นผู้โจมตีสามารถสร้างไดเร็กทอรี exploits และโหลดไฟล์ EpSecApiLib.dll ด้วยลายเซ็นการทดสอบไวรัสจากนั้นแทนที่ไดเร็กทอรี exploits ด้วยลิงก์สัญลักษณ์ก่อนที่จะถอนการติดตั้งแพลตฟอร์มซึ่งจะลบไลบรารี EpSecApiLib.dll ออกจากไดเร็กทอรี antivirus

นอกจากนี้ โปรแกรมป้องกันไวรัสจำนวนมากสำหรับ Linux และ macOS เปิดเผยการใช้ชื่อไฟล์ที่คาดเดาได้ เมื่อทำงานกับไฟล์ชั่วคราวในไดเร็กทอรี / tmp และ / private tmp ซึ่งสามารถใช้เพื่อเพิ่มสิทธิ์สำหรับผู้ใช้รูท

ในปัจจุบันผู้ให้บริการส่วนใหญ่ได้ขจัดปัญหาไปแล้ว แต่ควรสังเกตว่าการแจ้งเตือนครั้งแรกของปัญหาถูกส่งไปยังนักพัฒนาในช่วงฤดูใบไม้ร่วงปี 2018

ในการทดสอบของเราบน Windows, macOS และ Linux เราสามารถลบไฟล์ที่เกี่ยวข้องกับการป้องกันไวรัสที่ทำให้ไม่ได้ผลได้อย่างง่ายดายและยังลบไฟล์ระบบปฏิบัติการหลักที่อาจทำให้เกิดความเสียหายอย่างมากซึ่งจะต้องมีการติดตั้งระบบปฏิบัติการใหม่ทั้งหมด

แม้ว่าจะไม่ใช่ทุกคนที่ออกการอัปเดต แต่พวกเขาก็ได้รับการแก้ไขเป็นเวลาอย่างน้อย 6 เดือนและ RACK911 Labs เชื่อว่าตอนนี้คุณมีสิทธิ์เปิดเผยข้อมูลเกี่ยวกับช่องโหว่

มีข้อสังเกตว่า RACK911 Labs ทำงานเกี่ยวกับการระบุช่องโหว่มาเป็นเวลานาน แต่ไม่ได้คาดหมายว่าการทำงานร่วมกับเพื่อนร่วมงานในอุตสาหกรรมแอนติไวรัสจะเป็นเรื่องยากเนื่องจากการอัปเดตล่าช้าและเพิกเฉยต่อความจำเป็นในการแก้ไขปัญหาด้านความปลอดภัยอย่างเร่งด่วน .

มีการกล่าวถึงผลิตภัณฑ์ที่ได้รับผลกระทบจากปัญหานี้ ดังต่อไปนี้:

ลินุกซ์

• BitDefender GravityZone
• ความปลอดภัยของ Comodo Endpoint
• ความปลอดภัยของเซิร์ฟเวอร์ไฟล์ Eset
• ความปลอดภัยของ F-Secure Linux
• ความปลอดภัยของ Kaspersy Endpoint
• ความปลอดภัยของ McAfee Endpoint
• Sophos Anti-Virus สำหรับ Linux

Windows

• Avast แอนตี้ไวรัสฟรี
• Avira แอนตี้ไวรัสฟรี
• BitDefender GravityZone
• ความปลอดภัยของ Comodo Endpoint
• F-Secure การป้องกันคอมพิวเตอร์
• ความปลอดภัยของ FireEye Endpoint
• สกัดกั้น X (Sophos)
• แคสเปอร์สกี้ เอนด์พอยท์ ซิเคียวริตี้
• Malwarebytes สำหรับ Windows
• ความปลอดภัยของ McAfee Endpoint
• โดมแพนด้า
• Webroot ปลอดภัยทุกที่

MacOS

• AVG
• BitDefender ความปลอดภัยโดยรวม
• Eset Cyber ​​Security
• Kaspersky Internet Security
• McAfee คุ้มครองรวม
• Microsoft Defender (เบต้า)
• ความปลอดภัยของนอร์ตัน
• หน้าแรก Sophos
• Webroot ปลอดภัยทุกที่

Fuente: https://www.rack911labs.com