Концепция атаки строится на манипуляции состоянием гонки между событиями обнаружения вредоносного файла и инициированием процесса его удаления. Фундаментальный недостаток заключается в том, что файловые операции всегда выполняются антивирусами с самым высоким уровнем привилегий, что открывает возможности для эксплуатации широкого спектра уязвимостей и состояний гонки.
Для успешной эксплуатации уязвимости достаточно загрузить заведомо вредоносный файл, а через определенное время, непосредственно перед вызовом функции удаления, подменить каталог с файлом символической ссылкой. Большинство антивирусов не выполняют проверку символических ссылок и удаляют, по их мнению, вредоносный файл, который на самом деле может являться важным компонентом антивируса или системы.
Экспертам RACK911 Labs удалось успешно провести атаку в системах Windows, macOS и Linux. Они смогли удалить важные файлы антивирусного ПО, оставив целевой компьютер без защиты. Более того, им даже удалось удалить некоторые системные файлы, что привело к полной потере работоспособности операционной системы.
Специалисты лаборатории считают задачу эксплуатации данной уязвимости тривиальной. Основная трудность заключается в том, чтобы выяснить точное время подмены символической ссылки. Расхождение даже в 1 секунду приведет к тому, что эксплойт уже не сработает.
В системах Windows для подтверждения концепции использовалась атака против McAfee Endpoint Security для Windows. Экспертам удалось удалить компонент антивируса EpSecApiLib.dll и влиять на действия защитного продукта.
RACK911 Labs стала информировать вендоров об уязвимости еще осенью 2018 года и продолжала это делать до сегодняшнего дня. Возможно малоизвестные продукты, не перечисленные в списке уязвимых антивирусов, также подвержены атакам данного типа.
Большинство вендоров исправили свои продукты за некоторыми исключениями. Компания столкнулась со сложностями при взаимодействии с разработчиками антивируса из-за постоянного отсутствия обновления и полного игнорирования срочности исправлений уязвимости.
У каждого вендора было по крайней мере 6 месяцев на исправления уязвимости. Теперь RACK911 Labs решила раскрыть информацию о проблеме безопасности. Возможно, данный шаг позволит активизировать работу над исправлениями.
Также лаборатория установила, что многие разработчики антивирусов для Linux и macOS предпочитают использовать предсказуемые имена файлов и временные каталоги, что может привести к повышению привилегий до root. Компания надеется, что вендоры пересмотрят модель работы с файлами и каталогами для безопасности пользователей. Важно, чтобы файловые операции выполнялись с наименьшим уровнем полномочий для предотвращения атак.
Уязвимые антивирусы
Примечание: Указанные антивирусные продукты были непосредственно протестированы RACK911 Labs, и лаборатория отправляла отчеты об уязвимостях по каждому из них, которые были подтверждены вендорами.
Антивирусы для Windows
- Avast Free Antivirus
- Avira Free Antivirus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Computer Protection
- FireEye Endpoint Security
- Intercept X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- McAfee Endpoint Security
- Panda Dome
- Webroot Secure Anywhere
Антивирусы для macOS
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Антивирусы для Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset File Server Security
- F-Secure Linux Security
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus for Linux
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?