Pesquisadores exploram falha que compromete softwares de antivírus

Pesquisadores exploram falha que compromete softwares de antivírus e os transformam em ferramentas autodestrutivas através de uma falha considerada simples.

Segundo o site GB Hackers,  pesquisadores do Rack911Labs descobriram uma falha simples que existia em quase 28 softwares antivírus que permitem que os autores de malware explorem o sistema e desabilitem o software antivírus e também os transformem em ferramentas autodestrutivas.

O bug abusava das operações de directory junctions (Windows) e symlinks (macOS e Linux) e o usava para executar essa exploração.

Uma junção de diretório – directory junctions – é exclusiva do Windows e só pode vincular dois diretórios; Ele não pode vincular arquivos e os diretórios devem ser locais para o sistema de arquivos.

Não há privilégios de administrador necessários para explorar o software antivírus em execução no sistema operacional Windows.

Um symlinks , também chamado de link simbólico, é comumente usado no Linux e no macOS. O link simbólico é um tipo de arquivo que aponta para outro arquivo.

Usando os dois métodos, a falha aproveita as operações privilegiadas de arquivo para desativar o software antivírus ou interferir no sistema operacional para torná-lo inútil, etc.

Basicamente, o Antivirus será executado nos computadores com alto estado privilegiado e obtendo o mais alto nível de autoridade para verificar todos os arquivos e diretórios para encontrar os arquivos maliciosos e desconhecidos, além de colocar em quarentena e passar para o ambiente isolado.

Devido a essa natureza do antivírus, ele se abre para uma ampla gama de vulnerabilidades e várias  race conditions (condições de corrida) e eventualmente, permite que os invasores obtenham o privilégio de alto nível de sistemas vulneráveis.

O Rack 911Labs  publicou a lista de AV afetados abaixo. A lista apresenta os produtos antivírus que foram testados diretamente e que enviaram relatórios de vulnerabilidade individuais e foram confirmados pelos fornecedores.

Em alguns casos, os fornecedores de antivírus têm vários produtos com nomes diferentes, mas a tecnologia subjacente (vulnerável) ainda é a mesma. Dito isso, a lista acima não representam uma precisão da extensão dos produtos vulneráveis ​​aos ataques descritos pelos pesquisadores.

Nos testes no Windows, macOS e Linux, os pesquisadores foram capazes de excluir facilmente arquivos importantes relacionados ao software antivírus que o tornaram ineficaz e até excluir os principais arquivos do sistema operacional que causariam corrupção significativa, exigindo uma reinstalação completa do sistema operacional. (Ao direcionar para o Windows, os pesquisadores conseguiram apenas excluir arquivos que NÃO estavam em uso no momento; no entanto, alguns softwares antivírus ainda removeriam o arquivo após a reinicialização do sistema.)

Os pesquisadores alertam que é importante observar que eles se concentram principalmente no comportamento autodestrutivo com essas explorações. Em alguns casos, quando modificaram as explorações originais para direcionar certos diretórios e / ou arquivos, observaram alterações de permissão e propriedade de arquivos que poderiam facilmente levar a vulnerabilidades do tipo de escalonamento de privilégios no sistema operacional.

Os pesquisadores afirmam também que explorar essas falhas foi bastante trivial e os autores de malware experientes não terão problemas em armar as táticas descritas nesta postagem do blog. A parte mais difícil será descobrir quando executar a junção de diretório ou link simbólico, pois o tempo é tudo; Um segundo muito cedo ou um segundo muito tarde e a exploração não funcionará.

Com isso dito, um usuário mal-intencionado local que está tentando escalar seus privilégios poderá descobrir o momento correto com pouco esforço. Em alguns dos softwares antivírus que exploramos, o tempo não era importante e uma simples instrução de loop para executar a exploração repetidamente era tudo o que era necessário para manipular o software antivírus para se autodestruir.

 

Explorando o Windows (vídeo PoC)

Os pesquisadores tentaram o processo de exploração do McAfee Endpoint Security para Windows usando sua prova de conceito e conseguiram excluir o arquivo EpSecApiLib.dll.

A Prova de conceito abaixo foi usada no McAfee Endpoint Security for Windows para excluir o arquivo EpSecApiLib.dll como exemplo. Nos testes, eles puderam excluir qualquer arquivo que não estava em uso no momento, incluindo a capacidade de interferir nas próprias operações do antivírus.

Quase todas as explorações de antivírus para Windows são de natureza semelhante. Em alguns casos, tiveram que implementar valores de tempo limite para causar um atraso entre o download da cadeia de teste EICAR e a criação das junções de diretório. Na maioria das race conditions, o tempo é tudo, mas é fácil descobrir os valores exatos com o mínimo de esforço.

Em nossos testes, fomos capazes de excluir qualquer arquivo que não estava em uso no momento, incluindo a capacidade de interferir nas operações do antivírus“, disseram os pesquisadores.

 

Exploração do macOS e Linux (vídeo PoC)

Os pesquisadores usaram sua exploração de PoC contra o Norton Internet Security para macOS e baixam a cadeia de teste EICAR de Pastebin para contornar a proteção em tempo real que leva a impedir que o Antivirus baixe a cadeia de teste no site oficial da Norton.

Ao baixar a cadeia de teste do Pastebin, o Antivirus imediatamente a detecta como malware e tenta limpar.

Os pesquisadores disseram que “conseguimos identificar um atraso aproximado de 6 a 8 segundos que permite que ocorra uma ‘race condition’ que possa resultar em um ataque de link simbólico, causando a remoção de qualquer arquivo devido ao fato de o software ser executado como raiz“.

 

Essa prova de conceito também funciona para alguns softwares antivírus Linux e os pesquisadores foram capazes de excluir arquivos importantes que renderizariam o software antivírus.

Todos os fornecedores de antivírus afetados foram notificados individualmente e agora quase todos os fornecedores de antivírus mencionados pelos pesquisadores estão corrigidos. Desta forma, recomenda-se aos usuários que apliquem os patch mais recentes no software antivírus que está instalado.

 

Fonte: GB Hackers & Rack911Labs

 

Veja também:

Sobre mindsecblog 1783 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Vazamento de site da BB Previdência expõe dados de 153 mil clientes

Deixe sua opinião!