Çoğu antivirüs sembolik bağlantılar kullanılarak devre dışı bırakılabilir

Darkcrizt

4 minutos

antivirüs yazılımlarından kaçınma

Dün RACK911 Labs araştırmacıları, paylaşıyorumn kendi bloglarında, yayınladıkları bir gönderi araştırmasının bir kısmı, neredeyse hepsinin paketleri Windows, Linux ve macOS için antivirüs savunmasızdı kötü amaçlı yazılım içeren dosyaları kaldırırken yarış koşullarını değiştiren saldırılara.

Gönderinizde bir saldırı gerçekleştirmek için bir dosya indirmeniz gerektiğini gösterin antivirüsün kötü amaçlı olarak algıladığı (örneğin, bir test imzası kullanılabilir) ve belirli bir süre sonra, antivirüs kötü amaçlı dosyayı tespit ettikten sonra  İşlevi kaldırmak için çağırmadan hemen önce, dosya belirli değişiklikleri yapacak şekilde hareket eder.

Çoğu virüsten koruma programının hesaba katmadığı şey, kötü amaçlı dosyayı algılayan dosyanın ilk taraması ile hemen ardından gerçekleştirilen temizleme işlemi arasındaki küçük zaman aralığıdır.

Kötü niyetli bir yerel kullanıcı veya kötü amaçlı yazılım yazarı, virüsten koruma yazılımını devre dışı bırakmak veya işletim sistemine müdahale etmek için ayrıcalıklı dosya işlemlerinden yararlanan bir dizin bağlantısı (Windows) veya symlink (Linux ve macOS) aracılığıyla bir yarış koşulu gerçekleştirebilir.

Windows'ta bir dizin değişikliği yapılır dizin birleştirme kullanarak. Süre Linux ve Macos'ta, benzer bir numara yapabilirsin dizini "/ etc" bağlantısına değiştirmek.

Sorun şu ki, neredeyse tüm antivirüsler sembolik bağları doğru bir şekilde kontrol etmemiş ve kötü amaçlı bir dosyayı sildiklerini düşünerek sembolik bağlantı ile gösterilen dizindeki dosyayı silmişlerdir.

Linux ve macOS'ta gösterir nasıl bu şekilde ayrıcalıkları olmayan bir kullanıcı / etc / passwd dosyasını veya başka bir dosyayı sistemden kaldırabilirsiniz ve Windows'ta çalışmasını engellemek için antivirüsün DDL kitaplığı (Windows'ta saldırı yalnızca diğer kullanıcıların şu anda kullanmadığı dosyaları silerek sınırlandırılmıştır) uygulamaları.

Örneğin, bir saldırgan bir açıklardan yararlanma dizini oluşturabilir ve EpSecApiLib.dll dosyasını virüs testi imzasıyla yükleyebilir ve ardından EpSecApiLib.dll kitaplığını dizinden kaldıracak olan platformu kaldırmadan önce açıklar dizinini sembolik bağlantıyla değiştirebilir. Antivirüs.

Buna ek olarak, Linux ve macOS için birçok antivirüs öngörülebilir dosya adlarının kullanımını ortaya çıkardı / tmp ve / private tmp dizinindeki geçici dosyalarla çalışırken, kök kullanıcının ayrıcalıklarını artırmak için kullanılabilir.

Bugüne kadar çoğu sağlayıcı sorunları çoktan ortadan kaldırdı, Ancak sorunun ilk bildirimlerinin geliştiricilere 2018 sonbaharında gönderildiğine dikkat edilmelidir.

Windows, macOS ve Linux üzerinde yaptığımız testlerde, onu etkisiz kılan önemli antivirüs ile ilgili dosyaları kolayca kaldırabildik ve hatta işletim sisteminin tamamen yeniden yüklenmesini gerektirecek önemli ölçüde bozulmaya neden olabilecek önemli işletim sistemi dosyalarını kaldırabildik.

Herkes güncellemeleri yayınlamamasına rağmen, en az 6 ay boyunca bir düzeltme aldılar ve RACK911 Labs, artık güvenlik açıkları hakkındaki bilgileri ifşa etme hakkına sahip olduğunuza inanıyor.

RACK911 Labs'ın uzun süredir güvenlik açıklarını belirlemek için çalıştığı, ancak güncellemelerin gecikmeli olarak yayınlanması ve güvenlik sorunlarını acilen düzeltme ihtiyacının göz ardı edilmesi nedeniyle antivirüs endüstrisindeki meslektaşlarla çalışmanın bu kadar zor olacağını tahmin etmediği belirtiliyor. .

Bu sorundan etkilenen ürünlerden bahsedilmektedir aşağıdakilere:

Linux

  • BitDefender Yerçekimi Bölgesi
  • Comodo Uç Nokta Güvenliği
  • Eset Dosya Sunucusu Güvenliği
  • F-Secure Linux Güvenliği
  • Kaspersy Uç Nokta Güvenliği
  • McAfee Uç Nokta Güvenliği
  • Linux için Sophos Anti-Virus

Windows

  • Avast Ücretsiz Anti-Virüs
  • Avira bedava Antivirüs
  • BitDefender Yerçekimi Bölgesi
  • Comodo Uç Nokta Güvenliği
  • F-Secure Bilgisayar Koruması
  • FireEye Uç Nokta Güvenliği
  • X'i Kesmek (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes Windows için
  • McAfee Uç Nokta Güvenliği
  • Panda kubbesi
  • Webroot Güvenli Her Yerde

MacOS

  • AVG
  • BitDefender Toplam Güvenlik
  • Eset Siber Güvenlik
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender'ın (BETA)
  • Norton Güvenliği
  • Sophos Ana Sayfa
  • Webroot Güvenli Her Yerde

kaynak: https://www.rack911labs.com


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Guillermoivan dijo
    önce 4 yıl

    en çarpıcı olanı ... ramsomware'in şu anda nasıl yayıldığı ve AV geliştiricilerinin bir yama uygulamak için 6 ay sürmesi ...

    Guillermoivan için yanıt