Hầu hết phần mềm chống vi-rút có thể bị vô hiệu hóa bằng cách sử dụng các liên kết tượng trưng

phần mềm chống virus

Hôm qua, Tôi chia sẻ các nhà nghiên cứu của RACK911 Labsn trên blog của họ, một bài đăng mà họ đã phát hành một phần nghiên cứu của anh ấy cho thấy rằng hầu hết các gói của chống vi-rút cho Windows, Linux và macOS dễ bị tấn công để tấn công thao túng điều kiện chủng tộc trong khi xóa các tệp chứa phần mềm độc hại.

Trong bài viết của bạn cho thấy rằng để thực hiện một cuộc tấn công, bạn cần tải xuống một tệp mà phần mềm chống vi-rút nhận ra là độc hại (ví dụ: có thể sử dụng chữ ký kiểm tra) và sau một thời gian nhất định, sau khi phần mềm chống vi-rút phát hiện tệp độc hại  ngay trước khi gọi hàm xóa nó, tệp sẽ thực hiện một số thay đổi nhất định.

Điều mà hầu hết các chương trình chống vi-rút không tính đến là khoảng thời gian nhỏ giữa lần quét tệp đầu tiên phát hiện tệp độc hại và thao tác dọn dẹp được thực hiện ngay sau đó.

Người dùng cục bộ độc hại hoặc tác giả phần mềm độc hại thường có thể thực hiện điều kiện chạy đua thông qua đường giao nhau thư mục (Windows) hoặc liên kết tượng trưng (Linux và macOS) lợi dụng các hoạt động tệp đặc quyền để vô hiệu hóa phần mềm chống vi-rút hoặc can thiệp với hệ điều hành để xử lý nó.

Trong Windows, một thay đổi thư mục được thực hiện sử dụng tham gia thư mục. Trong khi trên Linux và Macos, một thủ thuật tương tự có thể được thực hiện thay đổi thư mục thành liên kết "/ etc".

Vấn đề là hầu như tất cả các chương trình chống vi rút đã không kiểm tra các liên kết tượng trưng một cách chính xác và cho rằng chúng đang xóa một tệp độc hại, chúng đã xóa tệp trong thư mục được chỉ ra bởi liên kết tượng trưng.

Trên Linux và macOS, nó hiển thị Làm thế nào theo cách này một người dùng không có đặc quyền bạn có thể xóa / etc / passwd hoặc bất kỳ tệp nào khác khỏi hệ thống và trong Windows, thư viện DDL của phần mềm chống vi-rút để chặn hoạt động của nó (trong Windows, cuộc tấn công chỉ bị giới hạn bằng cách xóa các tệp mà người dùng khác hiện không sử dụng ứng dụng).

Ví dụ: kẻ tấn công có thể tạo thư mục khai thác và tải tệp EpSecApiLib.dll với chữ ký kiểm tra vi-rút, sau đó thay thế thư mục khai thác bằng liên kết tượng trưng trước khi gỡ cài đặt nền tảng sẽ xóa thư viện EpSecApiLib.dll khỏi thư mục. chống vi rút.

Bên cạnh đó, nhiều phần mềm chống vi-rút cho Linux và macOS đã tiết lộ việc sử dụng các tên tệp có thể đoán trước được khi làm việc với các tệp tạm thời trong thư mục / tmp và / private tmp, có thể được sử dụng để tăng đặc quyền cho người dùng root.

Cho đến nay, hầu hết các nhà cung cấp đã loại bỏ các vấn đề, Nhưng cần lưu ý rằng các thông báo đầu tiên về sự cố đã được gửi đến các nhà phát triển vào mùa thu năm 2018.

Trong các thử nghiệm của chúng tôi trên Windows, macOS và Linux, chúng tôi có thể dễ dàng xóa các tệp quan trọng liên quan đến chống vi-rút khiến nó không hiệu quả và thậm chí xóa các tệp hệ điều hành quan trọng có thể gây ra hỏng hóc nghiêm trọng đòi hỏi phải cài đặt lại toàn bộ hệ điều hành.

Mặc dù không phải ai cũng phát hành bản cập nhật nhưng họ đã nhận được bản sửa lỗi trong ít nhất 6 tháng và RACK911 Labs tin rằng giờ đây bạn có quyền tiết lộ thông tin về các lỗ hổng.

Cần lưu ý rằng RACK911 Labs đã làm việc trong việc xác định lỗ hổng bảo mật trong một thời gian dài, nhưng không lường trước được rằng việc làm việc với các đồng nghiệp trong ngành chống vi-rút sẽ khó đến vậy do việc phát hành bản cập nhật bị trì hoãn và bỏ qua yêu cầu khẩn cấp khắc phục các vấn đề bảo mật .

Trong số các sản phẩm bị ảnh hưởng bởi sự cố này được đề cập đến theo sau:

Linux

  • BitDefender GravityZone
  • Bảo mật điểm cuối Comodo
  • Eset Bảo mật Máy chủ Tệp
  • Bảo mật F-Secure Linux
  • Bảo mật điểm cuối Kaspersy
  • Bảo mật điểm cuối của McAfee
  • Sophos Anti-Virus dành cho Linux

Windows

  • Diệt virus miễn phí
  • Avira phần mềm chống virus miễn phí
  • BitDefender GravityZone
  • Bảo mật điểm cuối Comodo
  • Bảo vệ máy tính F-Secure
  • Bảo mật điểm cuối FireEye
  • Đánh chặn X (Sophos)
  • Bảo mật điểm cuối của Kaspersky
  • Malwarebytes dành cho Windows
  • Bảo mật điểm cuối của McAfee
  • Mái vòm gấu trúc
  • Webroot an toàn mọi nơi

Dành cho MacOS

  • AVG
  • Bảo mật toàn diện của BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Bộ bảo vệ Microsoft (BETA)
  • Norton Security
  • Trang chủ Sophos
  • Webroot an toàn mọi nơi

Fuente: https://www.rack911labs.com


Một bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   guillermoivan dijo

    ...