Эксперты исследовательской компании RACK911 Labs протестировали популярные антивирусы под Windows, macOS и Linux и обнаружили, что в большинстве содержится уязвимость с похожими последствиями. Она позволяет злоумышленниками удалять любые файлы с компьютера жертвы, в том числе и файлы операционной системы.
Уязвимость позволяет манипулировать антивирусом во время пребывания его в так называемом «состоянии гонки» (race condition). Это промежуток времени между обнаружением вредоносного файла и запуском процесса удаления или перемещения в карантин. Использование уязвимости основано на том, что в любой системе антивирусы выполняют файловые операции с наивысшим уровнем прав.
Захватив антивирус в момент «состояния гонки», злоумышленник может заставить его удалить некий собственный ключевой компонент, что выведет программу из строя. Также можно испортить операционную систему.
Для эксплуатации уязвимости нужен любой файл, на который среагирует антивирус. В промежутке «состояния гонки» злоумышленник должен успеть подменить этот файл на символическую ссылку на другой файл, который хакеру нужно удалить. В Windows для этого нужно подмена каталога с помощью точки соединения.
Протестированные rack911 Labs антивирусы не проверяли ссылки, по которым удаляли файлы. Это позволяло удалять любой компонент как самого антивируса, так и операционной системы.
Впервые специалисты RACK911 Labs обнаружили возможность взлома антивируса с помощью символических ссылок еще осенью 2018-го, однако до апреля 2020 года они не публиковали эту информацию, предоставив разработчикам время для исправления.
Для демонстрации эксперты RACK911 Labs сломали таким образом антивирус McAfee под Windows. Они удалили его важный компонент EpSecApiLib.dll.
В RACK911 Labs говорят, что подобная атака является несложной для опытного злоумышленника. Единственное, что может помешать, – его собственная медлительность, из-за которой он не успеет воспользоваться «состоянием гонки». Но злоумышленник может повторить загрузку вредоносного файла на ПК и запустить цикл заново.
Дыра присутствует как в малоизвестных антивирусных решениях, так и в продуктах крупных компаний. Она присутствует в Avast, Avira, Comodo Endpoint Security, BitDefender GravityZone, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Kaspersky for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere, Kaspersky Endpoint Security.
Под macOS уязвимыми оказались антивирусы AVG, BitDefender Total Security, Eset Cyber Security, Kaspersky Internet Security, McAfee Total Protection, Microsoft Defender (BETA), Norton Security, Sophos Home и Webroot Secure Anywhere.
Список для Linux: BitDefender GravityZone, Comodo Endpoint Security, Eset File Server Security, F-Secure Linux Security, Kaspersy Endpoint Security, McAfee Endpoint Security Sophos Anti-Virus for Linux.
