Divulgada vulnerabilidade que permite remover arquivos arbitrários com a maioria dos programas antivírus
(rack911labs.com)Foi divulgada uma vulnerabilidade que permite remover arquivos arbitrários ao explorar de forma inversa o mecanismo usado por programas antivírus para colocar arquivos maliciosos em quarentena. (em inglês) Essa vulnerabilidade foi descoberta no outono de 2018 pela equipe de segurança da empresa de hospedagem RACK911, e agora, segundo informado, já foi corrigida pelos principais desenvolvedores de antivírus.
Essa vulnerabilidade explora basicamente o fato de haver um pequeno atraso entre o momento em que o recurso de monitoramento em tempo real do antivírus detecta um arquivo malicioso e o momento em que ele o coloca em quarentena, além do uso dos recursos de vinculação de arquivos/diretórios no sistema de arquivos (Symbolic link no Linux e macOS, Directory Junction no Windows). Em termos simples, prepara-se de propósito um arquivo que acione o monitoramento em tempo real do antivírus (por exemplo, o arquivo de teste EICAR); quando o antivírus o detecta, antes que o arquivo seja colocado em quarentena ele é removido e discretamente substituído por um link simbólico para o arquivo que se deseja apagar. Então o antivírus acaba movendo um arquivo perfeitamente normal para a quarentena. Se esse arquivo em quarentena for um arquivo importante do sistema operacional, isso se torna um ataque de negação de serviço contra o sistema; se for um arquivo necessário para o funcionamento do antivírus, então o sistema de segurança é desativado. Embora o timing seja importante nessa técnica, aparentemente ela conseguia ter sucesso até mesmo com simples repetição por meio de um arquivo em lote.
Vídeo de prova de conceito para Windows:
https://www.youtube.com/watch?v=MblUiyazdAc
Vídeo de prova de conceito para macOS:
Ainda não há comentários.