Меню
Поиск

Антивирусы легко превращаются в свою противоположность

23 апрель, 2020 - 12:05

Антивирусы легко превращаются в свою противоположность

RACK911 Labs — подразделение компании RACK911, с 2013 года активно занимающееся поиском компьютерных уязвимостей, сообщило об уникальном и в то же время простом способе, позволяющем превратить почти любое антивирусное ПО в инструмент разрушения.

Когда незнакомый файл сохраняется на жёстком диске, антивирус обычно выполняет «сканирование в реальном времени». Если по результатам проверки сочтено, что новый файл может представлять угрозу, его помещают в безопасное место на карантин или просто удаляют.

В этой достаточно стандартной последовательности действий антивирусное ПО, как правило, не учитывает небольшое окно времени между завершением сканирования файла и началом операции очистки. Локальный пользователь может эксплуатировать возникающую ошибку многопотоковости — состояние гонки (race condition) — применяя функции соединения каталогов (directory junction) в Windows или symlink в Linux и macOS для отключения самих антивирусных программ или нарушения работоспособности операционной системы.

Эксклюзивная функция Windows, directory junction используется для соединения только двух локальных каталогов и не требует администраторских привилегий, то есть доступна для каждого. Symlink или «symbolic link» это просто файл-ссылка, указывающий на другой файл. В Windows символические ссылки по умолчанию недоступны для непривилегированного пользователя, однако в Linux и macOS подобного ограничения нет.

Наибольшую трудность в таких атаках представляет определение точного момента для выполнения соединения каталогов или symlink. Но для ряда антивирусных программ это некритично, и с задачей справляется простой цикл многократного применения эксплойта.

Тестируя этот метод на всех трёх платформах, сотрудники RACK911 Labs смогли легко удалять файлы, от которых зависела эффективность работы антивирусного ПО, и даже стирать ключевые файлы ОС, из-за чего требовалось её устанавливать заново. (В Windows можно было удалять только те файлы, что в данный момент НЕ использовались; однако некоторым антивирусам удавалось стирать и эти файлы после перезагрузки системы).

RACK911 Labs начала уведомлять об этой проблеме поставщиков антивирусных средств осенью 2018 года, и к настоящему моменту большинство из них (за несколькими досадными исключениями) внесли исправления в свои продукты. Поэтому команда приняла решение донести информацию о своём открытии, вместе с листингами концептуальных эксплойтов, до широкой публики.