Представлен способ превращения антивирусов в инструмент для самоуничтожения

Специалисты компании RACK911 Labs продемонстрировали , как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.

Большинство антивирусных решений работают по одной схеме: при сохранении неизвестного файла на жесткий диск компьютера антивирус сканирует его в реальном времени. Если файл признается подозрительным, он либо отправляется в «карантин» - защищенное место, где ожидает дальнейших действий пользователя, либо удаляется. В связи с характером проводимых операций антивирусное ПО как правило обладает на системе наивысшими привилегиями, что, по словам специалистов RACK911 Labs, «открывает двери для широко спектра уязвимостей в безопасности и неопределенностей параллелизма» (так называемое «состояние гонки» или race condition).

Как сообщают исследователи, в большинстве антивирусных решений не учитывается небольшой зазор времени между сканированием файла и дальнейшими действиями с ним. Локальный злоумышленник или вредоносное ПО может вызвать неопределенность параллелизма с помощью символических ссылок и, воспользовавшись привилегированным статусом действий с файлом, отключить антивирусное ПО или сделать его полностью бесполезным.

Исследователи смогли успешно удалить важные файлы антивирусного ПО на компьютерах под управлением Windows, macOS и Linux, сделав его бесполезным, и даже удалить ключевые системные файлы и тем самым вызвать серьезные повреждения, потребовавшие переустановки ОС.

По словам исследователей, осуществить представленную ими атаку очень просто, и бывалый хакер справится с ней без труда. Самое сложное – определить точное время, когда нужно выполнить directory junction или symlink. В данной атаке тайминг играет ключевую роль, поскольку опоздание даже на одну секунду сделает эксплоит бесполезным. Однако в случае с некоторыми антивирусными решениями тайминг не имел никакого значения, и для запуска их самоуничтожения было достаточно закольцевать запуск эксплоита.

Компания RACK911 Labs начала рассылать уведомления затронутым вендорам осенью 2018 года, и большинство из них, за небольшим исключением, уже исправили уязвимость.