Popularne programy zabezpieczające miały lukę, która pozwalała atakującym kasować pliki i uszkodzić system, a w niektórych przypadkach także zainstalować malware. Na liście zagrożonych znalazły się między innymi produkty jak McAffee Endpoint Security, Avast Free Anti-Virus, Kaspersky Endpoint Security czy Malwarebytes.
Specjaliścy z RACK911 Labs znaleźli luki tyopu „wyścig dowiązań symbolicznych” (symlink race) w 28 programach antywirusowych z czołówki rankingu popularności. Błąd tego typu występuje, jeśli można powiązać linkami symbolicznymi plik szkodliwy i plik używany przez program. W efekcie program z błędem mógł wykonać szkodliwy kod, zawarty w dowiązanym pliku. To jedno z powszechniejszych zagrożeń na systemach, które pozwalają uruchomić jednocześnie kilka procesów.
Atakujący tym sposobem mogli skasować pliki programu antywirusowego lub pliki systemowe. W niektórych przypadkach możliwa była także instalacja szkodliwego oprogramowania. Jeśli szkodliwy plik został powiązany z plikiem o wysokich uprawnieniach, można także przeprowadzić atak podnoszący uprawnienia (privilege elevation).
Zobacz: Avast miał nas chronić, a sprzedaje historię przeglądania
Zobacz: Huawei szpieguje? Patrz na ręce Xiaomi
Na kanale RACK911 Labs na YouTube można zobaczyć przykładowy atak na produkt McAffee na Windowsie. Podobny zabieg jest możliwy na Linuxie i macOS.
Analitycy RACK911 Labs badali obecność tych luk w programach antywirusowych od 2018 roku. W raporcie wymieniają 28 aplikacji zabezpieczających.
Wszyscy producenci zostali poinformowani o zagrożeniu. AVG, McAffee, Symantec i F-Secure powiadomili o obecności luki i wydaniu łatki, inni działali „po cichu”. Niestety znalazło się kilku producentów, którzy zignorowali ostrzeżenie. Ze względów bezpieczeństwa nie zostali wymienieni w raporcie. Analitycy wyrazili nadzieję, że dzięki mediom oni także zdecydują się załatać luki.
Źródło tekstu: RACK911 Labs
