一份新的报告称,大量流行的防病毒程序可能已经或仍然存在让攻击者删除文件的bug。
Rack911实验室的安全研究人员发现,28种知名的杀毒软件可能存在共同的安全漏洞,使攻击者能够删除文件并提示系统崩溃,从而使他们能够安装具有潜在破坏性的恶意软件。
该报告在其产品列表中列出了反病毒程序,包括McAfee端点安全、微软卫士和Malwarebytes,这些产品可能存在或已经存在可能最终导致恶意软件安装的bug。
“在我们的跨Windows、macOS和amp的测试中;该公司在一篇博客文章中说:“在Linux下,我们可以很容易地删除与反病毒软件相关的重要文件,使其失效,甚至删除关键的操作系统文件,这将导致严重的破坏,需要重新安装整个操作系统。”
这些程序被称为“符号链接竞争”,当杀毒软件扫描文件寻找恶意软件并将其删除时,它们会使用符号链接和目录连接将恶意文件与合法文件链接在一起。根据Rack911的说法,这种策略对安全套件和平台都适用。
研究人员表示,问题在于大多数杀毒软件在系统内以特权状态运行的方式,这意味着它拥有最高级别的权限。Rack911称这是一个根本性的缺陷,文件操作是在最高级别上执行的,这为各种各样的安全漏洞和竞争条件打开了大门。
研究小组表示,虽然包括AVG、F-Secure、McAfee和赛门铁克在内的一些供应商已经修复了这些漏洞,但一些反病毒客户端仍然存在漏洞。symlink竞态条件bug是应用程序和操作系统中最古老、最难以消除的bug之一。
Rack911进一步警告说,这个漏洞可能会降低杀毒软件的有效性,并使恶意软件对意识到这个漏洞的攻击者更有效。
2021-08-11
2021-08-11
2021-08-11
2021-08-11
2021-08-11
2021-08-11
2021-08-11
2021-08-11