`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Антивирусы легко превращаются в свою противоположность

+33
голоса

Антивирусы легко превращаются в свою противоположность

RACK911 Labs — подразделение компании RACK911, с 2013 года активно занимающееся поиском компьютерных уязвимостей, сообщило об уникальном и в то же время простом способе, позволяющем превратить почти любое антивирусное ПО в инструмент разрушения.

Когда незнакомый файл сохраняется на жёстком диске, антивирус обычно выполняет «сканирование в реальном времени». Если по результатам проверки сочтено, что новый файл может представлять угрозу, его помещают в безопасное место на карантин или просто удаляют.

В этой достаточно стандартной последовательности действий антивирусное ПО, как правило, не учитывает небольшое окно времени между завершением сканирования файла и началом операции очистки. Локальный пользователь может эксплуатировать возникающую ошибку многопотоковости — состояние гонки (race condition) — применяя функции соединения каталогов (directory junction) в Windows или symlink в Linux и macOS для отключения самих антивирусных программ или нарушения работоспособности операционной системы.

Эксклюзивная функция Windows, directory junction используется для соединения только двух локальных каталогов и не требует администраторских привилегий, то есть доступна для каждого. Symlink или «symbolic link» это просто файл-ссылка, указывающий на другой файл. В Windows символические ссылки по умолчанию недоступны для непривилегированного пользователя, однако в Linux и macOS подобного ограничения нет.

Наибольшую трудность в таких атаках представляет определение точного момента для выполнения соединения каталогов или symlink. Но для ряда антивирусных программ это некритично, и с задачей справляется простой цикл многократного применения эксплойта.

Тестируя этот метод на всех трёх платформах, сотрудники RACK911 Labs смогли легко удалять файлы, от которых зависела эффективность работы антивирусного ПО, и даже стирать ключевые файлы ОС, из-за чего требовалось её устанавливать заново. (В Windows можно было удалять только те файлы, что в данный момент НЕ использовались; однако некоторым антивирусам удавалось стирать и эти файлы после перезагрузки системы).

RACK911 Labs начала уведомлять об этой проблеме поставщиков антивирусных средств осенью 2018 года, и к настоящему моменту большинство из них (за несколькими досадными исключениями) внесли исправления в свои продукты. Поэтому команда приняла решение донести информацию о своём открытии, вместе с листингами концептуальных эксплойтов, до широкой публики.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+33
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT