Главное подобрать правильный тайминг.
Специалисты компании RACK911 Labs рассказали, как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.
Символическая («мягкая») ссылка (также «симлинк», от англ. Symbolic link) — специальный файл в файловой системе, в котором вместо пользовательских данных содержится путь к файлу, открываемому при обращении к данной ссылке (файлу).
Большинство антивирусных решений работают по типовой схеме: при сохранении неизвестного файла на жесткий диск компьютера антивирус сканирует его в реальном времени. Если файл признается подозрительным, он либо отправляется в «карантин», то есть, защищенное место, где ожидает дальнейших действий пользователя, либо удаляется. В связи с характером проводимых операций антивирусное ПО как правило обладает на системе наивысшими привилегиями.
Однако в большинстве антивирусных решений не учитывается небольшой зазор времени между сканированием файла и дальнейшими действиями с ним. Воспользовавшись этой лазейкой, вредонос или хакер может вызвать неопределенность параллелизма с помощью символических ссылок. Наивысшие привилегии позволят отключить антивирусное ПО или сделать его полностью бесполезным.
На практике исследователи смогли успешно удалить важные файлы антивирусного ПО на компьютерах под управлением Windows, macOS и Linux, а также уничтожили ключевые системные файлы, тем самым вызвав серьезные повреждения, потребовавшие переустановки ОС.
По словам исследователей, осуществить представленную ими атаку очень просто, и бывалый хакер справится с ней без труда. Самое сложное – определить точное время, когда нужно выполнить directory junction или symlink.
Есть, впрочем, и некоторые антивирусные решения, где для запуска самоуничтожения антивируса было достаточно закольцевать запуск эксплоита.
Из соображений безопасности подробности об атаке не раскрываются, самим вендорам о ней сообщили уже давно. По состоянию на весну 2020 большинство из них, за небольшим исключением, уже исправили уязвимость.
Читайте также на АКБ:
Mitsubishi Electric взломали через уязвимость в антивирусе Trend Micro