Представлений спосіб перетворення антивірусів в інструмент для самознищення

Представлений спосіб перетворення антивірусів в інструмент для самознищення

   Фахівці компанії RACK911 Labs продемонстрували, як за допомогою символічних посилань (directory junction на Windows і symlink на macOS і Linux) можна перетворити практично будь-яке антивірусне рішення в інструмент для самознищення.

    Більшість антивірусних рішень працюють за однією схемою: при збереженні невідомого файлу на жорсткий диск комп'ютера антивірус сканує його в реальному часі. Якщо файл визнається підозрілим, він або вирушає в «карантин» — захищене місце, де очікує подальших дій користувача, або віддаляється. У зв'язку з характером операцій, що проводяться, антивірусне ПЗ, як правило, має в системі найвищы привілеї, що, за словами фахівців RACK911 Labs, «відкриває двері для широкого спектру вразливостей в безпеці і невизначеностей паралелізму» (так зване «стан гонки» або race condition).

   Як повідомляють дослідники, в більшості антивірусних рішень не враховується невеликий зазор часу між скануванням файлу і подальшими діями з ним. Локальний зловмисник або шкідливі програми можуть викликати невизначеність паралелізму за допомогою символічних посилань і, скориставшись привілейованим статусом дій з файлом, відключити антивірусне ПЗ або зробити його повністю даремним.

    Дослідники змогли успішно видалити важливі файли антивірусного ПЗ на комп'ютерах під управлінням Windows, macOS і Linux, зробивши його непотрібним, і навіть видалити ключові системні файли і тим самим викликати серйозні пошкодження, котрі зажадали перевстановлення ОС.

   За словами дослідників, здійснити представлену ними атаку дуже просто, і бувалий хакер впорається з нею без ускладнень. Найскладніше — визначити точний час, коли потрібно виконати directory junction або symlink. У даній атаці таймінг грає ключову роль, оскільки запізнення навіть на одну секунду зробить експлоїт марним. Однак у випадку з деякими антивірусними рішеннями таймінг не мав ніякого значення, і для запуску їх самознищення було досить закільцювати запуск експлоїта.

Компанія RACK911 Labs почала розсилати повідомлення вендорам восени 2018 року, і більшість з них, за невеликим винятком, вже виправили уразливість.

11:34
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|