Unele instrumente antivirus sunt mai rezistente decât altele, dar se pare că multe dintre ele au puncte slabe în comun. Rack911 Labs a dezvăluit că 28 de aplicatii antivirus cunoscute sunt vulnerabile la atacurile hackerilor.
Aplicatii antivirus precum Microsoft Defender, McAfee Endpoint Security și Malwarebytes, au avut sau au bug-uri care ar permite atacatorilor să șteargă fișierele necesare și să promoveze blocări care ar putea fi utilizate pentru a instala malware.
Cunoscute sub numele de „symlink races”, acestea folosesc legături simbolice și joncțiuni de directoare pentru a conecta fișiere rău intenționate la cele legitime în timpul dintre scanarea unui fișier pentru viruși și când un virus este eliminat.
Abordarea funcționează nu numai în solutiile de securitate, ci și pe platforme. Aceasta nu are nevoie decat de tehnici diferite pe PC-urile și Mac-urile Linux, au spus cei de la Rack911.
În testarea noastră pe Windows, macOS și Linux, am putut șterge cu ușurință fișierele importante legate de software-ul antivirus care îl face ineficient și chiar șterge fișierele cheie ale sistemului de operare care ar provoca o corupție semnificativă care necesită o reinstalare completă a sistemului de operare. (Când vizăm Windows, am putut doar să ștergem fișierele care nu erau utilizate în prezent; Cu toate acestea, unele programe antivirus vor înlătura fișierul la resetarea sistemului.)
Este important de menționat că ne-am concentrat în principal pe comportamentul autodistructiv cu aceste exploatări. În unele cazuri când am modificat exploatările noastre originale pentru a viza anumite directoare și / sau fișiere, am observat modificări ale permisiunii și proprietății fișierelor, care ar fi putut duce cu ușurință la vulnerabilități de tip escaladă privilegiată în sistemul de operare.
Echipa Rack911Intrușii ar mai trebui să descarce și să ruleze codul necesar înainte de a lansa un symlink race, deci este mai mult un instrument care să faciliteze o încălcare existentă decât să o pornească. Cercetătorii au mai remarcat că majoritatea furnizorilor (inclusiv AVG, F-Secure, McAfee și Symantec) au remediat erorile, unele dintre ele fara sa anunte acest lucru.
Exista totusi cateva solutii de securitate care sunt in continuare vulnerabile, dar echipa de cercetatori nu a oferit nici un nume. Rack911 a avertizat, de asemenea, că a profita de erori a fost „banal”. Aceasta ar putea reduce eficacitatea software-ului antivirus și ar face ca programele malware să fie mult mai eficiente pentru atacatorii care știu că există erori.
Pentru a preveni ca aceste aplicatii antivirus sa fie vulnerabile este recomandat să vă actualizați software-ul de securitate, chiar dacă este doar pentru a reduce daunele potențiale dacă cineva vă poate compromite sistemul.
