La mayoría de los antivirus pueden ser desactivados mediante enlaces simbólicos
El día de ayer, los investigadores de RACK911 Labs, compartieron en su blog, una publicación en la que dieron a conocer parte de su investigación en la que se muestra que casi todos los paquetes de antivirus para Windows, Linux y macOS eran vulnerables a los ataques que manipulan las race conditions (condiciones de carrera) durante la eliminación de archivos que contienen malware.
En su publicación muestran que para llevar a cabo un ataque, es necesario descargar un archivo que el antivirus reconoce como malicioso (por ejemplo, se puede usar una firma de prueba) y después de un cierto tiempo, después de que el antivirus detecta el archivo malicioso inmediatamente antes de llamar a la función para eliminarlo, el archivo actúa para realizar ciertos cambios.
Lo que la mayoría de los programas antivirus no tienen en cuenta es el pequeño intervalo de tiempo entre el análisis inicial del archivo que detecta el archivo malicioso y la operación de limpieza que se realiza inmediatamente después.
Un usuario local malicioso o un autor de malware a menudo puede realizar una condición de carrera a través de una unión de directorios (Windows) o un enlace simbólico (Linux y macOS) que aprovecha las operaciones de archivos privilegiados para deshabilitar el software antivirus o interferir con el sistema operativo para procesarlo.
En Windows se realiza un cambio de directorio utilizando una unión de directorios. Mientras que en Linux y Macos, se puede hacer un truco similar cambiando el directorio al enlace “/etc”.
El problema es que casi todos los antivirus no verificaron correctamente los enlaces simbólicos y considerando que estaban eliminando un archivo malicioso, eliminaron el archivo en el directorio señalado por el enlace simbólico.
En Linux y macOS se muestra cómo de esta manera un usuario sin privilegios puede eliminar /etc/passwd o cualquier otro archivo del sistema y en Windows la biblioteca DDL del antivirus para bloquear su funcionamiento (en Windows, el ataque se limita solo al eliminar archivos que otros usuarios no utilizan actualmente) aplicaciones).
Por ejemplo, un atacante puede crear un directorio de exploits y cargar el archivo EpSecApiLib.dll con la firma de prueba de virus y luego reemplazar el directorio de exploits con el enlace simbolico antes de desinstalar la plataforma que eliminará la biblioteca EpSecApiLib.dll del directorio del antivirus.
Además, muchos antivirus para Linux y macOS revelaron el uso de nombres de archivo predecibles al trabajar con archivos temporales en el directorio /tmp y /private tmp, que podrían usarse para aumentar los privilegios para el usuario root.
Hasta la fecha, la mayoría de los proveedores ya han eliminado los problemas, pero cabe destacar que las primeras notificaciones del problema se enviaron a los desarrolladores en el otoño de 2018.
En nuestras pruebas en Windows, macOS y Linux, pudimos eliminar fácilmente archivos importantes relacionados con el antivirus que lo volvieron ineficaz e incluso eliminar archivos clave del sistema operativo que causarían una corrupción significativa que requeriría una reinstalación completa del sistema operativo.
A pesar de que no todos lanzaron las actualizaciones, recibieron una solución durante al menos 6 meses, y RACK911 Labs cree que ahora tiene el derecho de revelar información sobre vulnerabilidades.
Se observa que RACK911 Labs lleva mucho tiempo trabajando en la identificación de vulnerabilidades, pero no anticipó que sería tan difícil trabajar con colegas de la industria de antivirus debido al retraso en el lanzamiento de actualizaciones e ignorando la necesidad de solucionar urgentemente los problemas de seguridad.
De los productos afectados por este problema se mencionan a los siguientes:
Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset File Server Security
- F-Secure Linux Security
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus for Linux
Windows
- Avast Free Anti-Virus
- Avira Free Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Computer Protection
- FireEye Endpoint Security
- Intercept X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- McAfee Endpoint Security
- Panda Dome
- Webroot Secure Anywhere
MacOS
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Fuente: https://www.rack911labs.com