Новости
Некоторые антивирусные программы страдают от уязвимости Symlink races

Некоторые антивирусные программы страдают от уязвимости Symlink races

Некоторые антивирусные программы страдают от уязвимости Symlink races


По данным Rack911 Labs, среди 28 известных антивирусов, включая Microsoft Defender, McAfee Endpoint Security и Malwarebytes, либо имели, либо имеют ошибки, позволяющие злоумышленникам удалять необходимые файлы и вызывать сбои, которые могли бы использоваться для установки вредоносных программ.

Речь идёт об ошибках Symlink races, которые проявляются в том, что программы создают файлы небезопасным образом. Злоумышленники могут создать символическую ссылку на файл, недоступный для них обычным образом. Когда привилегированная программа создаёт файл с тем же именем, что и символическая ссылка, она фактически вместо этого создаёт связанный файл, попутно вставляя содержимое, требуемое злоумышленнику или даже предоставляемое злоумышленником. Таким образом, при помощи такого метода злоумышленники могут связать вредоносные файлы с легитимными в промежутке времени между сканированием файла на наличие вирусов и его удалением.

Этот подход работает не только для разных наборов обеспечения безопасности, но и для разных платформ. В Rack911 Labs заявляют, что для ПК с Linux и Mac просто потребуются другие техники.

Следует отметить, что для использования уязвимости Symlink races злоумышленникам по-прежнему необходимо загрузить и запустить необходимый код перед использованием такого метода. Так что это скорее инструмент более активного и простого использования уже свершившейся атаки, а не способ первоначального проникновения в систему.

Исследователи также отметили, что большинство разработчиков антивирусного ПО (включая AVG, F-Secure, McAfee и Symantec) исправили ошибки. Но некоторые антивирусные пакеты всё ещё остаются уязвимыми для таких атак. Их названия не уточняются.

Источник: Engadget


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: