Спецпроекты

Безопасность Пользователю Техника Маркет

Во всех популярных антивирусах для Windows, macOS и Linux найден механизм самоуничтожения. Видео

Эксперты по информационной безопасности обнаружили в большинстве популярных антивирусов под Windows, macOS и Linux уязвимость, дающую возможность опытным хакерам без особого труда удалять любые файлы с компьютера жертвы, в том числе и файлы операционной системы. Большинство разработчиков устранили брешь, но в ряде продуктов проблема по-прежнему присутствует.

Небезопасные антивирусы

В большинстве распространенных антивирусов обнаружена уязвимость, позволяющая вывести их из строя и даже «сломать» операционную систему. Проблему выявили специалисты исследовательской компании RACK911 Labs, протестировав различное антивирусное ПО под Windows, macOS и Linux.

Найденная брешь позволяет манипулировать антивирусом во время пребывания его в так называемом «состоянии гонки» (race condition). Это небольшой отрезок времени между обнаружением вредоносного файла и запуском процесса его удаления или, в зависимости от настроек, перемещения в карантин. Использование данной уязвимости основано на том, что в любой системе антивирусы выполняют файловые операции с самым высоким уровнем привилегий.

Атакуя ПК подобным образом, хакер может заставить антивирус удалить один из собственных ключевых компонентов, после чего он перестанет работать, или же переместить важный системный файл. В этом случае потребуется переустановка системы или восстановление ее из резервной копии.

Как работает уязвимость

Для эксплуатации уязвимости требуется загрузить на компьютер любой файл, на который среагирует антивирус, определив его как вредоносный. Затем в промежутке между распознаванием файла и запуском функции его удаления нужно подменить каталог с файлом так называемой «символической ссылкой» (symlink в macOS и Linux), ведущей на любой другой файл, который хакеру нужно удалить. В Windows для этого требуется подмена каталога при помощи точки соединения (directory junction).

ant600.jpg
Avast - один из антивирусов, подверженных взлому через символические ссылки

Протестированные RACK911 Labs антивирусы не проверяли ссылки, по которым удаляли файлы, что и позволяло удалять любой компонент как самого антивирусного ПО, так и операционной системы.

По словам исследователей RACK911 Labs, осуществление подобной атаки – тривиальная задача для опытного хакера. Единственное, что может помешать ему это сделать – это его собственная медлительность, поскольку состояние гонки длится всего несколько мгновений. Исследователи добавили, что если взломщик промедлит с подменой символических ссылок хотя бы на секунду, то ему придется повторно загружать на компьютер поддельное вредоносное ПО, на которое должен среагировать антивирус.

Уязвимые антивирусы

Ошибка, обнаруженная специалистами RACK911 Labs, присутствует как в малоизвестных антивирусных решениях, так и в продуктах крупных компаний. К примеру, в антивирусах под Windows она была выявлена в Avast, Avira, Comodo Endpoint Security, BitDefender GravityZone, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Malwarebytes for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere и даже в Kaspersky Endpoint Security.

Эксперты не отрицают, что аналогичная проблема может скрываться и в других антивирусах. Они указали лишь на те, которые протестировали самостоятельно, и в которых уязвимость была найдена.

В качестве наглядного примера сотрудники RACK911 Labs показали, как можно взломать антивирус McAfee под Windows. В результате атаки им удалось удалить компонент EpSecApiLib.dll, входящий в его состав.

Использование уязвимости в McAfee

Под macOS были выявлены следующие уязвимые антивирусы: AVG, BitDefender Total Security, Eset Cyber Security, Kaspersky Internet Security, McAfee Total Protection, Microsoft Defender (BETA), Norton Security, Sophos Home и Webroot Secure Anywhere. Список для Linux: BitDefender GravityZone, Comodo Endpoint Security, Eset File Server Security, F-Secure Linux Security, Kaspersy Endpoint Security, McAfee Endpoint Security и Sophos Anti-Virus for Linux.

Что предпринимают разработчики

Впервые специалисты RACK911 Labs обнаружили возможность «взлома» антивируса при помощи символических ссылок еще осенью 2018 г., однако до апреля 2020 г. они не публиковали эту информацию. В течение всех этих месяцев они информировали разработчиков ПО о выявленной уязвимости, и у них было достаточно времени для ее устранения.

Эксперты подчеркнули, что большинство девелоперов, с которыми им удалось связаться, к настоящему моменту выпустили обновления, устраняющие брешь, но список тех, кто все еще не сделал это, они не предоставили. Они добавили, что некоторые компании в течение длительного времени игнорировали факт необходимости срочного исправления уязвимости. Другие же приняли информацию во внимание, но по тем или иным причинам вовсе не обновляли свои продукты.

Эльяс Касми

Короткая ссылка