Будь-який антивірус для Windows, macOS і Linux можна вивести з ладу

Фахівці компанії RACK911 Labs продемонстрували, як за допомогою символічних посилань (directory junction на Windows і symlink на macOS і Linux) можна перетворити практично будь-який антивірусне рішення в інструмент для самознищення.

Більшість антивірусних рішень працюють за однією схемою: під час збереження невідомого файлу на жорсткий диск комп’ютера антивірус сканує його в реальному часі. Якщо файл визнається підозрілим, він або потрапляє в “карантин” – захищене місце, де очікує подальших дій користувача, або видаляється. У зв’язку з характером операцій, що проводяться антивірусне ПЗ як правило має в системі найвищі привілеї, що, за словами фахівців RACK911 Labs, “відкриває двері для широкого спектру уразливостей в безпеці.

Як повідомляють дослідники, в більшості антивірусних рішень не враховується невеликий відрізок часу між скануванням файлу і подальшими діями з ним. Локальний зловмисник або шкідливі програми можуть викликати невизначеність за допомогою символічних посилань і, скориставшись привілейованим статусом дій з файлом, вимкнути антивірусне ПЗ або зробити його повністю марним.

Дослідники змогли успішно видалити важливі файли антивірусного ПЗ на комп’ютерах під управлінням Windows, macOS і Linux, зробивши його марним, і навіть видалити ключові системні файли і тим самим викликати серйозні пошкодження, котрі зажадали перевстановлення ОС.

За словами дослідників, здійснити представлену ними атаку дуже просто, і бувалий хакер впорається з нею без проблем. Найскладніше – визначити точний час, коли потрібно виконати directory junction або symlink. У цій атаці таймінг грає ключову роль, оскільки запізнення навіть на одну секунду зробить експлойт марним. Однак у випадку з деякими антивірусними рішеннями таймінг не мав ніякого значення, і для запуску їх самознищення було досить закільцювати запуск експлойта.

Компанія RACK911 Labs почала розсилати повідомлення вендорам восени 2018 року, і більшість з них, за невеликим винятком, вже виправили уразливість.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

На час карантину під час Вашої роботи вдома існує більша загроза бути підданим кіберзламу, ніж би Ви виконували завдання в офісі. Щоб зменшити ризики інфікування шкідливими програмами та підвищити безпеку віддаленого доступу,  дотримуйтесь наступних правил.

Нагадаємо, компанії Apple і Google об’єдналися, щоб створити систему відстеження контактів з хворими коронавірусом на iOS і Android.

Також понад 300 облікових записів Zoom виявили на одному з форумів у Даркнеті, де викладаються та продаються різні особисті дані.

Якщо Ваш смартфон потрапить до чужих рук, уся Ваша конфіденційна інформація може бути використана у зловмисних цілях. Саме тому важливо потурбуватися про безпеку своїх даних задовго до втрати чи викрадення телефону