Експерти дослідницької компанії RACK911 Labs протестували популярні антивіруси під Windows, macOS і Linux і виявили, що в більшості міститься уразливість зі схожими наслідками. Вона дозволяє зловмисниками видаляти будь-які файли з комп’ютера жертви, зокрема, і файли операційної системи.
Вразливість дозволяє маніпулювати антивірусом під час перебування його в так званому «стані гонки» (race condition). Це проміжок часу між виявленням шкідливого файлу і запуском процесу його видалення або переміщення в карантин. Використання уразливості засноване на тому, що в будь-якій системі антивіруси виконують файлові операції з найвищим рівнем прав.
Захопивши антивірус в момент «стану гонки», зловмисник може змусити його видалити якийсь власний ключовий компонент, що виведе програму з ладу. Також можна зіпсувати операційну систему.
Для експлуатації уразливості потрібен будь-який файл, на який зреагує антивірус. У проміжку «стану гонки» зловмисник повинен встигнути підмінити цей файл на символічне посилання на інший файл, який хакеру потрібно видалити. У Windows для цього потрібно підміна каталога за допомогою точки з’єднання.
Протестовані rack911 Labs антивіруси не перевіряли посилання, за якими видаляли файли. Це дозволяло видаляти будь-який компонент як самого антивірусу, так і операційної системи.
Уперше фахівці RACK911 Labs виявили можливість злому антивіруса за допомогою символічних посилань ще восени 2018-го, проте до квітня 2020 року вони не публікували цю інформацію, надавши розробникам час для виправлення.
Для демонстрації експерти RACK911 Labs зламали таким чином антивірус McAfee під Windows. Вони видалили його важливий компонент EpSecApiLib.dll.
У RACK911 Labs кажуть, що подібна атака є нескладною для досвідченого зловмисника. Єдине, що може перешкодити, – його власна повільність, через яку він не встигне скористатися «станом гонки». Але зловмисник може повторити завантаження шкідливого файлу на ПК та запустити цикл заново.
Діра присутня як в маловідомих антивірусних рішеннях, так і в продуктах великих компаній. Вона присутня в Avast, Avira, Comodo Endpoint Security, BitDefender GravityZone, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Malwarebytes for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere, Kaspersky Endpoint Security.
Під macOS вразливими виявилися антивіруси AVG, BitDefender Total Security, Eset Cyber Security, Kaspersky Internet Security, McAfee Total Protection, Microsoft Defender (BETA), Norton Security, Sophos Home і Webroot Secure Anywhere.
Список для Linux: BitDefender GravityZone, Comodo Endpoint Security, Eset File Server Security, F-Secure Linux Security, Kaspersy Endpoint Security, McAfee Endpoint Security і Sophos Anti-Virus for Linux.
