Некоторые антивирусные программы страдают от уязвимости Symlink races

По данным Rack911 Labs, среди 28 известных антивирусов, включая Microsoft Defender, McAfee Endpoint Security и Malwarebytes, либо имели, либо имеют ошибки, позволяющие злоумышленникам удалять необходимые файлы и вызывать сбои, которые могли бы использоваться для установки вредоносных программ.

Речь идёт об ошибках Symlink races, которые проявляются в том, что программы создают файлы небезопасным образом. Злоумышленники могут создать символическую ссылку на файл, недоступный для них обычным образом. Когда привилегированная программа создаёт файл с тем же именем, что и символическая ссылка, она фактически вместо этого создаёт связанный файл, попутно вставляя содержимое, требуемое злоумышленнику или даже предоставляемое злоумышленником. Таким образом, при помощи такого метода злоумышленники могут связать вредоносные файлы с легитимными в промежутке времени между сканированием файла на наличие вирусов и его удалением.

Этот подход работает не только для разных наборов обеспечения безопасности, но и для разных платформ. В Rack911 Labs заявляют, что для ПК с Linux и Mac просто потребуются другие техники.

Следует отметить, что для использования уязвимости Symlink races злоумышленникам по-прежнему необходимо загрузить и запустить необходимый код перед использованием такого метода. Так что это скорее инструмент более активного и простого использования уже свершившейся атаки, а не способ первоначального проникновения в систему.

Исследователи также отметили, что большинство разработчиков антивирусного ПО (включая AVG, F-Secure, McAfee и Symantec) исправили ошибки. Но некоторые антивирусные пакеты всё ещё остаются уязвимыми для таких атак. Их названия не уточняются.

Источник: Engadget