Фахівці компанії RACK911 Labs продемонстрували, як за допомогою символічних посилань (directory junction на Windows і symlink на macOS і Linux) можна перетворити практично будь-який антивірусне рішення в інструмент для самознищення.
Більшість антивірусних рішень працюють за однією схемою: під час збереження невідомого файлу на жорсткий диск комп’ютера антивірус сканує його в реальному часі. Якщо файл визнається підозрілим, він або потрапляє в “карантин” – захищене місце, де очікує подальших дій користувача, або видаляється. У зв’язку з характером операцій, що проводяться антивірусне ПЗ як правило має в системі найвищі привілеї, що, за словами фахівців RACK911 Labs, “відкриває двері для широкого спектру уразливостей в безпеці.
Як повідомляють дослідники, в більшості антивірусних рішень не враховується невеликий відрізок часу між скануванням файлу і подальшими діями з ним. Локальний зловмисник або шкідливі програми можуть викликати невизначеність за допомогою символічних посилань і, скориставшись привілейованим статусом дій з файлом, вимкнути антивірусне ПЗ або зробити його повністю марним.
Дослідники змогли успішно видалити важливі файли антивірусного ПЗ на комп’ютерах під управлінням Windows, macOS і Linux, зробивши його марним, і навіть видалити ключові системні файли і тим самим викликати серйозні пошкодження, котрі зажадали перевстановлення ОС.
За словами дослідників, здійснити представлену ними атаку дуже просто, і бувалий хакер впорається з нею без проблем. Найскладніше – визначити точний час, коли потрібно виконати directory junction або symlink. У цій атаці таймінг грає ключову роль, оскільки запізнення навіть на одну секунду зробить експлойт марним. Однак у випадку з деякими антивірусними рішеннями таймінг не мав ніякого значення, і для запуску їх самознищення було досить закільцювати запуск експлойта.
Компанія RACK911 Labs почала розсилати повідомлення вендорам восени 2018 року, і більшість з них, за невеликим винятком, вже виправили уразливість.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ЗРОБИТИ ВАШУ ВІДЕОКОНФЕРЕНЦІЮ МАКСИМАЛЬНО БЕЗПЕЧНОЮ? ПОРАДИ
ЩО КРАЩЕ – “ВИМКНУТИ” ЧИ “ПЕРЕЗАВАНТАЖИТИ” КОМП’ЮТЕР? ПОРАДИ ЕКСПЕРТІВ
ЯК ЗРОБИТИ ВІДДАЛЕНИЙ РЕЖИМ РОБОТИ ПІД ЧАС КАРАНТИНУ БЕЗПЕЧНИМ? ПОРАДИ
ФІШИНГ ТА СПАМ: ЯК РОЗПІЗНАТИ ІНТЕРНЕТ-ШАХРАЙСТВА, ПОВ’ЯЗАНІ З COVID-19?
АПГРЕЙД ВАШОГО КОМП’ЮТЕРА: 5 КОМПЛЕКТУЮЧИХ, ЯКІ ВАРТО ОНОВИТИ В ПЕРШУ ЧЕРГУ
На час карантину під час Вашої роботи вдома існує більша загроза бути підданим кіберзламу, ніж би Ви виконували завдання в офісі. Щоб зменшити ризики інфікування шкідливими програмами та підвищити безпеку віддаленого доступу, дотримуйтесь наступних правил.
Нагадаємо, компанії Apple і Google об’єдналися, щоб створити систему відстеження контактів з хворими коронавірусом на iOS і Android.
Також понад 300 облікових записів Zoom виявили на одному з форумів у Даркнеті, де викладаються та продаються різні особисті дані.
Якщо Ваш смартфон потрапить до чужих рук, уся Ваша конфіденційна інформація може бути використана у зловмисних цілях. Саме тому важливо потурбуватися про безпеку своїх даних задовго до втрати чи викрадення телефону
