大多数防病毒软件都可以使用符号链接禁用

昨天， 我分享了RACK911 Labs的研究人员在他们的博客上发布了一个帖子 他研究的一部分表明，几乎所有 的包装 适用于Windows，Linux和macOS的防病毒软件容易受到攻击 在删除包含恶意软件的文件时操纵竞争条件的攻击。

在您的帖子中 表明要进行攻击，您需要下载文件 防病毒软件识别为恶意软件（例如，可以使用测试签名），并且 一段时间后，防病毒软件检测到恶意文件后 在调用该函数以将其删除之前，该文件将立即进行某些更改。

大多数防病毒程序没有考虑到的是，从最初检测到恶意文件的文件扫描到此后立即执行的清理操作之间的时间间隔很小。

恶意本地用户或恶意软件作者通常可以通过目录链接（Windows）或符号链接（Linux和macOS）执行竞争条件，该目录链接利用特权文件操作来禁用防病毒软件或干扰操作系统对其进行处理。

在Windows中进行目录更改 使用目录联接. 而 在Linux和Macos上， 你可以做一个类似的把戏 将目录更改为“ / etc”链接。

问题在于，几乎所有防病毒软件都没有正确检查符号链接，并考虑到它们正在删除恶意文件，因此删除了符号链接所指示目录中的文件。

在Linux和macOS上，它显示 没有权限的用户如何使用这种方式 您可以从系统中删除/ etc / passwd或任何其他文件 在Windows中，防病毒软件的DDL库将阻止其运行（在Windows中，仅通过删除其他用户当前未使用的文件来限制攻击））。

例如，攻击者可以创建漏洞利用目录，并用病毒测试签名加载EpSecApiLib.dll文件，然后用符号链接替换漏洞利用目录，然后再卸载平台，该平台将从该目录中删除EpSecApiLib.dll库。

另外， 许多针对Linux和macOS的防病毒软件揭示了可预测的文件名的使用 当使用/ tmp和/ private tmp目录中的临时文件时，可以使用这些文件来增加root用户的特权。

迄今为止，大多数提供商已经消除了这些问题， 但应该注意的是，该问题的第一批通知已于2018年秋季发送给开发人员。

在Windows，macOS和Linux上进行的测试中，我们能够轻松删除使防病毒软件无效的重要文件，甚至删除可能导致严重损坏并需要完全重新安装操作系统的关键操作系统文件。

尽管并非所有人都发布了更新，但他们至少收到了6个月的修复程序，RACK911 Labs认为您现在有权披露有关漏洞的信息。

值得注意的是，RACK911 Labs致力于识别漏洞已有很长的时间，但是并没有预料到由于延迟发布更新而忽略了紧急解决安全问题的必要，因此与防病毒行业的同事合作将如此困难。

提到受此问题影响的产品 到以下内容：

Linux

Windows

MacOS的

可以使用符号链接禁用大多数防病毒软件