RACK911 Labs: Популярные антивирусы оказались подвержены атакам с использованием символических ссылок

2020-04-21 3956 комментарии
Компании RACK911 Labs удалось установить простой метод использования так называемых символических связей папок (directory junctions) в Windows и символических ссылок в macOS и Linux для удаления собственных файлов антивируса

Концепция атаки строится на манипуляции состоянием гонки между событиями обнаружения вредоносного файла и инициированием процесса его удаления. Фундаментальный недостаток заключается в том, что файловые операции всегда выполняются антивирусами с самым высоким уровнем привилегий, что открывает возможности для эксплуатации широкого спектра уязвимостей и состояний гонки.

Для успешной эксплуатации уязвимости достаточно загрузить заведомо вредоносный файл, а через определенное время, непосредственно перед вызовом функции удаления, подменить каталог с файлом символической ссылкой. Большинство антивирусов не выполняют проверку символических ссылок и удаляют, по их мнению, вредоносный файл, который на самом деле может являться важным компонентом антивируса или системы.

Экспертам RACK911 Labs удалось успешно провести атаку в системах Windows, macOS и Linux. Они смогли удалить важные файлы антивирусного ПО, оставив целевой компьютер без защиты. Более того, им даже удалось удалить некоторые системные файлы, что привело к полной потере работоспособности операционной системы.

Специалисты лаборатории считают задачу эксплуатации данной уязвимости тривиальной. Основная трудность заключается в том, чтобы выяснить точное время подмены символической ссылки. Расхождение даже в 1 секунду приведет к тому, что эксплойт уже не сработает.

В системах Windows для подтверждения концепции использовалась атака против McAfee Endpoint Security для Windows. Экспертам удалось удалить компонент антивируса EpSecApiLib.dll и влиять на действия защитного продукта.

RACK911 Labs стала информировать вендоров об уязвимости еще осенью 2018 года и продолжала это делать до сегодняшнего дня. Возможно малоизвестные продукты, не перечисленные в списке уязвимых антивирусов, также подвержены атакам данного типа.

Большинство вендоров исправили свои продукты за некоторыми исключениями. Компания столкнулась со сложностями при взаимодействии с разработчиками антивируса из-за постоянного отсутствия обновления и полного игнорирования срочности исправлений уязвимости.

У каждого вендора было по крайней мере 6 месяцев на исправления уязвимости. Теперь RACK911 Labs решила раскрыть информацию о проблеме безопасности. Возможно, данный шаг позволит активизировать работу над исправлениями.

Также лаборатория установила, что многие разработчики антивирусов для Linux и macOS предпочитают использовать предсказуемые имена файлов и временные каталоги, что может привести к повышению привилегий до root. Компания надеется, что вендоры пересмотрят модель работы с файлами и каталогами для безопасности пользователей. Важно, чтобы файловые операции выполнялись с наименьшим уровнем полномочий для предотвращения атак.

Уязвимые антивирусы

Примечание: Указанные антивирусные продукты были непосредственно протестированы RACK911 Labs, и лаборатория отправляла отчеты об уязвимостях по каждому из них, которые были подтверждены вендорами.

Антивирусы для Windows

Антивирусы для macOS

Антивирусы для Linux

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?