БЭКАПЛЕНД - РЕЗЕРВНОЕ КОПИРОВАНИЕ ДЛЯ ВСЕХ!

Экспертами компании RACK911 Labs обнаружена уязвимость практически всех видов антивирусного ПО для Windows, Linux и macOS. Они были открыты для атак, способных манипулировать состоянием гонки (race conditions) при удалении файлов с вирусом.

Антивирус мог быть атакован вирусом по следующей схеме:

• Загрузка файла с вредоносным кодом (к примеру, с текстовой сигнатурой).
• Перед непосредственным удалением его через время (после отнесения к категории вредоносных) осуществляется подмена каталога с ним символической ссылкой. В ОС Windows для этого производится подмена каталога посредством использования точки соединения (directory junction).

Уязвимость многих антивирусных программ заключается в отсутствии проверки символических ссылок. В итоге, ПО удаляло не вирус, а указываемый ссылкой каталог.

По словам экспертов RACK911 Labs, эта уязвимость позволяет в Linux и macOS непривилегированному пользователю удалить системный файл, а в Windows DLL-библиотеку антивирусной программы, которая отвечает за блокировку его работы. Также выявлена возможность применения предсказуемых имен файлов в процессе работы с tmp-файлами, что позволяло вредоносному коду увеличить привилегии пользования до root.

Обсудить новость в группе Telegramm