Errores de raza Symlink descubiertos en 28 productos antivirus


race-condition-cycling.jpg

Imagen: Maico Amorim

Investigadores de seguridad de RACK911 Labs dijeron en un informe publicado esta semana que encontraron vulnerabilidades de «carrera de enlaces simbólicos» en 28 de los productos antivirus más populares de la actualidad.

RACK911 dice que los errores pueden ser explotados por un atacante para eliminar los archivos utilizados por el antivirus o por el sistema operativo, lo que ocasiona fallas o deja la computadora inutilizable.

La vulnerabilidad en el corazón de estos errores se llama «carrera de enlace simbólico» Dr. Vesselin Bontchev, miembro del Laboratorio Nacional de Virología Informática de la Academia de Ciencias de Bulgaria, dijo ZDNet hoy.

Se make una vulnerabilidad de carrera de enlace simbólico cuando vincula un archivo malicioso y un archivo legítimo, y termina ejecutando acciones maliciosas en el archivo legítimo. Las vulnerabilidades de la carrera de enlaces simbólicos a menudo se usan para vincular archivos maliciosos a elementos con mayores privilegios, lo que resulta en ataques de elevación de privilegios (EoP).

«Es un problema muy authentic y antiguo con los sistemas operativos que permiten procesos concurrentes», dijo el Dr. Bontchev ZDNet. «Se ha descubierto que muchos programas sufren en el pasado».

Años de trabajo investigando productos AV

En un informe publicado esta semana, el equipo RACK911 dijo que ha estado investigando la presencia de tales errores en los productos antivirus desde 2018.

Descubrieron que 28 productos en Linux, Mac y Home windows eran vulnerables, y notificaron a los proveedores a medida que pasaba el tiempo.

«La mayoría de los proveedores de antivirus han reparado sus productos con algunas desafortunadas excepciones», dijo el equipo RACK911 esta semana. Algunos proveedores reconocieron los problemas en avisos públicos (1, 2, 3, 4 4), mientras que otros parecen haber implementado parches silenciosos. El equipo RACK911 no nombró los productos que no parchearon.

av-software-error.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/04/24/e8a39d94-1a20-49d6-97d2-0b07e9bac833/av-software-error.png

Imagen: Laboratorios RACK911

RACK911 dice que los productos antivirus, en distinct, son vulnerables a este tipo de ataques, debido a la forma en que funcionan. Hay un intervalo desde el momento en que los archivos se analizan y se consideran maliciosos y hasta que el antivirus interviene para eliminar la amenaza. El ataque se basa en reemplazar el archivo malicioso con un enlace simbólico a un archivo legítimo dentro de esta ventana de tiempo.

Los investigadores del RACK911 han creado scripts de prueba de concepto que abusan de una condición de carrera (enlace simbólico) para vincular archivos maliciosos a archivos legítimos a través de uniones de directorio (en Home windows) y enlaces simbólicos (en Mac y Linux).

Cuando el antivirus detecta el archivo malicioso y se mueve para eliminarlo, termina eliminando sus propios archivos o eliminando los archivos principales que posee el sistema operativo.

(incrustar) https://www.youtube.com/check out?v=MblUiyazdAc (/ incrustar)

«En nuestras pruebas en Windows, macOS y Linux, pudimos eliminar fácilmente archivos importantes relacionados con el software package antivirus que lo volvieron ineficaz e incluso eliminar archivos clave del sistema operativo que causarían una corrupción significativa que requeriría una reinstalación completa del sistema operativo», RACK911 Los investigadores dijeron.

El código de prueba de concepto RACK911 lanzado esta semana solo elimina archivos. El Dr. Bontchev dice que tales ataques serían más peligrosos si los ataques reescribieran archivos, lo que podría ser factible, y conducirían a una toma complete del sistema atacado.

Los ataques en el mundo genuine que usan los errores RACK911 requerirían que un atacante esté en condiciones de descargar primero y luego ejecutar el código de ataque de enlace simbólico en un dispositivo. Esto no es algo que pueda ayudar a los atacantes a violar un sistema, sino algo que podría ayudarlos a mejorar su acceso en un sistema pirateado.

Esto significa que este tipo de error solo se puede usar como una carga útil de segunda etapa en una infección de malware, para elevar los privilegios, para deshabilitar productos de seguridad o para sabotear computadoras en un ataque destructivo.

«No se equivoquen al respecto, explotar estas fallas fue bastante trivial y los autores de malware experimentados no tendrán problemas para utilizar las tácticas descritas en esta publicación de blog site», dijo el equipo RACK911.

Por ahora, la mayoría de los errores que RACK911 encontró en los productos antivirus han sido reparados. Sin embargo, las variaciones podrían ser fácilmente descubiertas. Los errores de condición de carrera Symlink han sido algunos de los errores más antiguos y difíciles de mitigar en aplicaciones en las últimas décadas, en todos los sistemas operativos (1, 2)



Enlace a la noticia primary