在28款防病毒产品中发现"Symlink race"漏洞
本帖最后由 finlay 于 2020-4-25 18:49 编辑来自RACK911实验室的安全研究人员在本周发布的一份报告中表示,他们在当今最流行的28款杀毒软件产品中发现了 "symlink race "漏洞。
RACK911表示,这些漏洞可以被攻击者利用,删除杀毒软件或操作系统使用的文件,导致电脑崩溃或无法使用。
保加利亚科学院计算机病毒学国家实验室成员Vesselin Bontchev博士今天告诉ZDNet,这些漏洞的核心是 "symlink race"。
当你将一个恶意文件和一个合法文件连接在一起,并最终在合法文件上执行恶意操作时,就会出现symlink race漏洞。Symlink race漏洞通常被用来将恶意文件链接到权限较高的项目,从而导致权限提升(Emprovation-of-Privilege,EoP)攻击。
"在允许并发进程的操作系统中,这是一个非常真实的老问题,"Bontchev博士告诉ZDNet。"许多程序在过去都被发现受到了它的影响。"
多年来对杀毒产品的研究工作
RACK911团队在本周发布的一份报告中表示,自2018年以来,他们一直在研究杀毒产品中是否存在此类漏洞。
他们发现了横跨Linux、Mac和Windows的28款产品存在漏洞,并随着时间的推移通知了厂商。
"大多数杀毒软件厂商都已经修复了自己的产品,只有少数不幸的例外。"RACK911团队本周表示。一些厂商在公开公告[1、2、3、4]中承认了这些问题,而其他厂商似乎已经推出了沉默的补丁。RACK911团队没有说出没有打补丁的产品名称。
https://zdnet2.cbsistatic.com/hub/i/2020/04/24/e8a39d94-1a20-49d6-97d2-0b07e9bac833/av-software-error.png
RACK911表示,尤其是杀毒软件产品,由于其工作方式的原因,很容易受到这类攻击。从文件被扫描并被认为是恶意文件到杀毒软件介入移除威胁之前,会有一个时间间隔。这种攻击依赖于在这个时间窗口内,用一个指向合法文件的symlink替换恶意文件。
RACK911的研究人员创建了一个概念验证脚本,该脚本滥用(symlink)race条件,通过目录连接(在Windows上)和符号链接(在Mac和Linux上)将恶意文件链接到合法文件。
当杀毒软件检测到恶意文件并移动到删除该文件时,它最终会删除自己的文件,或者删除操作系统拥有的核心文件。
"在我们横跨Windows、macOS & Linux的测试中,我们能够轻松删除与杀毒软件相关的重要文件,使其失效,甚至删除关键的操作系统文件,而这些文件会造成严重的损坏,需要完全重新安装操作系统。"RACK911的研究人员表示。
RACK911本周发布的概念验证代码只删除了文件。Bontchev博士表示,如果攻击会重写文件,这样的攻击会更加危险,而重写文件是可以做到的,会导致被攻击的系统被完全接管。
在现实世界中使用RACK911漏洞进行的攻击,需要攻击者先下载,然后在设备上运行symlink攻击代码。这并不是能够帮助攻击者攻破系统的东西,而是能够帮助他们在被黑的系统上提高访问能力的东西。
这意味着这种类型的漏洞只能作为恶意软件感染中的第二级有效载荷,用来提升权限,禁用安全产品,或者在破坏性攻击中破坏计算机。
"不要搞错了,利用这些漏洞是相当微不足道的,经验丰富的恶意软件作者会毫不费力地将这篇博文中概述的策略武器化,"RACK911团队表示。
目前,RACK911发现的大部分杀毒软件产品中的漏洞已经被修复。然而,变异可能很容易被发现。Symlink race状态bug是过去几十年来所有操作系统中最古老、最难缓解的一些应用程序中的bug[1,2]。
页:
[1]