The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Большинство антивирусов оказались подвержены атаке через символические ссылки

21.04.2020 12:24

Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО.

Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, что почти все антивирусы должным образом не выполняли проверку символических ссылок и, считая что удаляют вредоносный файл, удаляли файл в каталоге на который указывает символическая ссылка.

В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл, а в Windows DLL самого антивируса для блокирования его работы (в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями). Например, атакующий может создать каталог "exploit" и загрузить в него файл EpSecApiLib.dll с тестовой сигнатурой вируса, после чего перед удалением заменить каталог "exploit" на ссылку "C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform", что приведёт к удалению библиотеки EpSecApiLib.dll из каталога антивируса. В Linux и macos аналогичный приём можно проделать с подменой каталога на ссылку "/etc".


   #!/bin/sh
   rm -rf /home/user/exploit ; mkdir /home/user/exploit/
   wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
   while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
   do
      rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
   done

Более того, во многих антивирусах для Linux и macOS было выявлено использование предсказуемых имён файлов при работе с временным файлами в каталоге /tmp и /private/tmp, что могло использоваться для повышения привилегий до пользователя root.

К настоящему времени проблемы уже устранены большинством поставщиков, но примечательно, что первые уведомления о проблеме были направлены производителям ещё осенью 2018 года. Несмотря на то, что не все производители выпустили обновления, им было дано на исправление как минимум 6 месяцев, и RACK911 Labs считает, что теперь вправе раскрыть сведения об уязвимостях. Отмечается, что компания RACK911 Labs давно занимается работой по выявлению уязвимостей, но она не предполагала, что с коллегами из антивирусной индустрии будет так трудно работать из-за затягивания выпуска обновлений и игнорирования необходимости срочного устранения проблем с безопасностью.

Продукты, подверженные проблеме (свободный антивирусный пакет ClamAV в списке отсутствует):

  • Linux
    • BitDefender GravityZone
    • Comodo Endpoint Security
    • Eset File Server Security
    • F-Secure Linux Security
    • Kaspersy Endpoint Security
    • McAfee Endpoint Security
    • Sophos Anti-Virus for Linux
  • Windows
    • Avast Free Anti-Virus
    • Avira Free Anti-Virus
    • BitDefender GravityZone
    • Comodo Endpoint Security
    • F-Secure Computer Protection
    • FireEye Endpoint Security
    • Intercept X (Sophos)
    • Kaspersky Endpoint Security
    • Malwarebytes for Windows
    • McAfee Endpoint Security
    • Panda Dome
    • Webroot Secure Anywhere
  • macOS
    • AVG
    • BitDefender Total Security
    • Eset Cyber Security
    • Kaspersky Internet Security
    • McAfee Total Protection
    • Microsoft Defender (BETA)
    • Norton Security
    • Sophos Home
    • Webroot Secure Anywhere


  1. Главная ссылка к новости (https://www.rack911labs.com/re...)
  2. OpenNews: В антивирусе McAfee для Linux выявлена удалённая root-уязвимость
  3. OpenNews: Выявление удалённой уязвимости в антивирусном пакете Avast
  4. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
  5. OpenNews: Показательные критические уязвимости в продуктах Symantec и Norton
  6. OpenNews: Уязвимости в OpenSMTPD, позволяющие удалённо и локально получить права root
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52779-antivirus
Ключевые слова: antivirus, symlink, virus
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (124) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
 
  • 2.6, Аноним (6), 12:57, 21/04/2020 [ответить]  
  • +/
    Речь идёт о символьных ссылках, а не указателях на ячейки памяти, то есть кривописатели не проверяют, ссылка ли перед ними аль файл, поэтому вопросы все к кривописателям, а не языку программирования.
     
     
     
    Часть нити удалена модератором

  • 4.97, gogo (?), 20:35, 21/04/2020 [ответить]  
  • +1 +/
    Тролль. Не кормите его )
     
  • 1.8, КО (?), 12:59, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Как страшно жить...
    Веба как всегда в списке нет ну и поф.
     
     
  • 2.18, Tita_M (ok), 13:43, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет потому что не уязвим? Или потому что не популярен?
     
  • 2.26, Она их (?), 14:09, 21/04/2020 Скрыто модератором
  • +3 +/
     
     
  • 3.122, Аноним (122), 06:20, 22/04/2020 Скрыто модератором
  • +3 +/
     
  • 2.48, Z (??), 16:44, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они запрещают тестирование и публикацию результатов тестирования со своим антивирусом
     
     
  • 3.62, Аноним (62), 18:03, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так тут не о тестировании речь.
     
  • 3.141, bOOster (ok), 16:17, 26/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Че за чушь???
     

  • 1.9, Аноним (9), 13:07, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Касперский все равно что McAffee, и ничего он не защищает, а вот взлом Касперского, когда я стдел на Винде было уже несколько раз! Причем, те дыры, которые есть в Винде, позволяют с легкостью отключить Касперский из трея. Да и обновления базы Касперского ничего не дают, плохо они справляются с поиском вирусов. В основном удаляют те файлы, которые не содержат вирус. А зараженные вылечить не в состоянии.
     
     
  • 2.23, Tita_M (ok), 13:59, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У Касперского нужно настройки паролем защищать к тому же у них вроде даже нету защиты от эмуляции действий пользователя, т.е. через всякие программы удалённого доступа можно отключить антивирус. Мне нравиться как сделано в Доктор Вебе. Там чтобы изменить настройки нужно перейти в программе в специальный режим администратора, т.е. нужно знать пароль от админа компьютера так что пользователь машины если он работает под юзерской учёткой не сможет отключить антивирус или изменить настройки в отличие от Касперского. Плюс к этому имеются стандартная парольная защита и запрет на эмуляцию действий пользователя.
     
     
  • 3.37, Timoteo Cirkla (ok), 15:21, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На самом деле нет. При любом удалённом доступе кошмарский недоступен для того, кто подключился к компьютеру удалённо.
     
     
  • 4.66, Tita_M (ok), 18:15, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А каким образом тогда его удалённо отключают всякие жулики? Не понимаю.
     
     
  • 5.86, и.о.К.О. (?), 19:24, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Для жуликов у касперского есть специальное API.
     
     
  • 6.137, annual slayer (?), 05:00, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    доступное по премиальной подписке для разработчиков
     
  • 2.25, Она их (?), 14:04, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Взломать можно всё! На каждый антивирус найдётся свой буравчик.
     
  • 2.80, псевдонимус (?), 19:05, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Касперский это как женские лобковые волосы: прикрывает, но не защищает :-)

    А вообще абсолютно любой антивирус является трояном.

     
     
  • 3.99, Аноним (-), 20:50, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даешь крестовые походы против антивирусов!
     
  • 2.85, и.о.К.О. (?), 19:23, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Причем, те дыры, которые есть в Винде, позволяют с легкостью отключить Касперский из трея.

    К чему эти сложности, касперский отлично отключается через его собственные дыры.

     
  • 2.98, Аноним (98), 20:49, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Каспер сливает данные ФCБ, а Макафи АНБ. Выбирай из многих сортов, сынок.
     
     
  • 3.115, Аноном (?), 00:50, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Каспер не такой клёвый и пищит как свинья, выбор очевиден: https://www.youtube.com/watch?v=bKgf5PaBzyg (всё равно они _все_ плюс минус бесполезны, этот хотя бы всегда стильный интерфейс имел).
     

  • 1.10, Аноним (10), 13:09, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Никто и не смнивался, что в антивирусной отрасли большинство "сапожников без сапог". Ещё нужно хорошо взвесить, что важнее защита от вирусов или угрозы от компрометации антивирусного ПО.
     
     
  • 2.12, КО (?), 13:24, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Важнее лишняя производительность
     
     
  • 3.30, Аноним (30), 14:46, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +22 +/
    Некоторые антивирусные решения предполагают, что компьютер пользователя предназначен только для поиска и удаления вирусов.
     
     
  • 4.45, Аноним (45), 16:35, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Чем медленнее работает браузер тем меньше вирусов им получится скачать.
     
     
  • 5.47, Аноним (62), 16:43, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    В этом плане современные браузеры достаточно защищены, чтобы обходиться без антивирусов.
     
  • 5.65, Лол (?), 18:15, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вирусы то как-раз накачаются в фоне, а юзер даже зависшим курсором пошевелить не сможет чтоб что-то сделать. Так себе секьюрность🤣🤣🤣
     
     
  • 6.138, getfr (?), 13:10, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    юзер может всегда выдернуть вилку из розетки. И пусть качаются после этого.
    После выключения отрубаются устройства коммуникации и чистится
     

  • 1.13, нона (?), 13:34, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Тоже новость, security продуктами управляют самые хитропопые продажники. Качество соответствующее. На внутрянки всяких WAF без слез нельзя смотреть.
     
     
  • 2.17, Аноним (17), 13:42, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так если продажи итак идут зачем им заморчиваться?
     
     
  • 3.31, Аноним (30), 14:47, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Нормальная убогая логика старого компьютерщика: работает - не тронь.
     
     
  • 4.36, mfa (?), 15:11, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    ненормальная логика малолетнего дебила - построить неработающее вместо сломанного работающего.
     
     
  • 5.54, Аноним (54), 17:21, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как раз не малолетнего. Малолетние по всей Америке коболистов ищут.
     
     
  • 6.63, Аноним (62), 18:06, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну-ка, покажи фотку столба с объявлением о поиске в качестве пруфа.
     
     
  • 7.90, Аноним (54), 19:44, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Гугель - поиск - кобол сша
     
     
  • 8.105, Аноним (62), 21:33, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там чё-то жёлтое без ссылок на источники Ты столб, столб покажи ... текст свёрнут, показать
     
  • 4.41, Аноним (41), 16:17, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем ломать то что работает? Только потому что ты молодой "компьюторщик?"
     
     
  • 5.58, Аноним (54), 17:48, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это недостаточная причина?
     
  • 4.44, Аноним (45), 16:34, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Этот твой антипаттер называется "преждевременная оптимизация" можешь погуглить что это значит.
     
     
  • 5.60, Аноним (54), 17:57, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кнут? Так там и сказано - старого компьютерщика. А чтобы решиться всё сломать, когда перспектива работающего (пока что) решения туманна и сделать заново - надо быть Джобсом, Королёвым, Лавочкиным.
     
     
  • 6.64, Аноним (54), 18:11, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Предположим, у тебя математическая библиотека на фортране. Твои действия? Оставить как есть или переписать на С? 20 000 строк на С (без хедеров) - это реально много.
     
     
  • 7.75, Аноним (75), 18:49, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сам с собой ведешь беседу? Но ответ такой ничего не трогать пока работает. Перестало работать/поддерживаться/что_угодно/упало_в_проде начинаешь переписывать до этого ничего не трогаешь.
     
  • 7.108, Аноним (108), 22:08, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Предположим библиотека или предположим на фортране? С какой целью ты собираешься переписывать на медленном языке то, прекрасно работает на быстром?
     
  • 6.131, Michael Shigorin (ok), 14:54, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А чтобы решиться всё сломать [...] - надо быть Джобсом

    Вот уж кого не жалко -- так это человека, угробившего запасы индия на планете почём зря.  Повторю вчерашнюю ссылочку до кучи: http://youtu.be/SbmgV7Oyp0w

    > Королёвым, Лавочкиным.

    Вы бы ещё Гейтса в тот же ряд посадили, хам.

     
  • 4.53, Урри (?), 16:55, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Леня, перелогиньтесь.
     

  • 1.14, Anonymouse (?), 13:36, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    ADinf32 не подвержен, пронесло
     
     
  • 2.38, ффф (?), 15:37, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Adinf не антивирус, а дисковый монитор. А вот aidstest - антивирус :)
     
     
  • 3.109, тигар (ok), 22:43, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ухты. олдафги в треде.
    жили у бабуси три веселых гуся - лоз, данилов и касперский, я от них тащууууся
     
     
  • 4.113, Аноним (113), 00:00, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лозинский - дуб, аидстест - горбуха!
     

  • 1.15, Аноним (17), 13:39, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Красиво
     
  • 1.16, ryoken (ok), 13:40, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как ни смешно, а G-Data в списке дуршлагов не нашёл :D.
     
     
  • 2.49, Аноним (62), 16:45, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Самые безопасные — антивирусы Попова и Бабушкина. На них ни одного CVE нет!
     
     
  • 3.67, Лол (?), 18:17, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лучший антивирус это хоть изредка включающийся мозг.
     
     
  • 4.123, ryoken (ok), 08:27, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > лучший антивирус это хоть изредка включающийся мозг.

    так щас народ им не комплектуют

     

  • 1.19, vitalif (ok), 13:45, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Офигеть, сколько антивирусов под линукс существует, а мужики-то не знают!

    То есть ClamAV оказался единственным, кто нормально себя ведёт?

     
     
  • 2.29, Аноним (62), 14:36, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нет, просто он не умеет мониторить ФС, поэтому ничего автоматом не удаляет.
     
     
  • 3.120, Аноним (120), 05:11, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А нахрена ее мониторить? Искать винчих в /usr/bin? Задача антивирусов под Linux - мониторить файлопомойки, которыми пользуются несчастные пользователи винды. Хук на аплоад по http/ftp/smb всегда можно повесить.
     
     
  • 4.126, Аноним (62), 10:09, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А нахрена ее мониторить?

    ХЗ, ФСТЭК говорит — надо.

     
     
  • 5.132, Michael Shigorin (ok), 14:56, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> А нахрена ее мониторить?
    > ХЗ, ФСТЭК говорит — надо.

    Это беда, да.  Кстати, надо будет попробовать спросить с отсылкой к таким вот случаям -- мафия (антивирусная) мафией, но надо же и совесть знать.

     
     
  • 6.139, Аноним (139), 11:41, 25/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мониторить фс и сканировать файлы при доступе надо. ClamAV умеет мониторить и блокировать доступ при обнаружении виря через fanotify.

    Файловый антивирус в GNULinux необходим для сканирования изменяемых разделов диска и получаемых через сеть файлов. /home, /tmp, /var/tmp надо сканировать при доступе. Настроить кеш с md5 сумами сканированных файлов и деятельность ClamAV станет неощутима.

     
     
  • 7.142, bircoph (ok), 10:52, 27/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Файловый антивирус в GNULinux необходим для сканирования изменяемых разделов диска и получаемых через сеть файлов. /home, /tmp, /var/tmp надо сканировать при доступе.

    Зачем? Жизнеспособных вирусов для Linux нет. Это не значит, что нет иных методов взлома, но защищаются от них вовсе не антивирусами.

    > Настроить кеш с md5 сумами сканированных файлов и деятельность ClamAV станет неощутима.

    md5 коллизии легко подбираемы, так что настраивайте.

     
  • 2.59, Аноним (59), 17:54, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, это же форк антивируса Попова
     
  • 2.104, Аноним (104), 21:31, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Comodo 02.2013 на qt4 - последняя версия. Не знаю, кто и ка на нём эти тесты проводил.
     

  • 1.27, Аноним (27), 14:11, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эх... вот если бы антивирусник весь хоум пользователя перемещал бы в каталог quarantine - это был бы номер, прям в тему.
     
     
  • 2.32, Аноним (30), 14:50, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Зачем, если кое-какие популярные ОС сами это делают при обновлении.
     

  • 1.28, An (??), 14:26, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну красавчики же )
     
     
  • 2.74, Аноним (-), 18:49, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хoмячки, которые спонсируют вирусописателей (и по совместительству создателей антивирусов) - должны страдать.
     

  • 1.33, evkogan (?), 14:50, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отсутствие всяких drweb и др. в списке это скорее всего не тестировали.
    Но в списке нет TrendMicro. А это один из самых распространенных в мире.
    Хотя странная подача материала, дать список уязвимых и не дать списка тестированных
     
     
  • 2.40, snmp agent (?), 16:15, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Реклама стоит денег )
     
  • 2.43, Аноним (108), 16:31, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >всяких

    Несколько раз сталкивался, что вирусы видел только drweb (ни нод, ни каспер не справились). Впрочем, ещё больше случаев было, когда он ничего не смог, и успешным оказался один из нод и каспер (но не оба, один из них постоянно пропускал). Что действительно странно, так это то, что нет самого распространённого от МС.

     
     
  • 3.88, Аномномномнимус (?), 19:30, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Базы пробовал обновлять?) Пока drweb самый адекватный из всех что я пробовал. А история общения с ним ещё со времён drweb for dos на 80486dx.
    Кошмарский конечно впереди... по файлс-позитивам. Нод до сих пор не привычно считать антивирусом. Но конечно лучше чем вагон и тележка какого-то вообще неведомого троянизированного недософта которого десяток лет ещё даже не видел никто и который фальспозитивит ещё чаще чем кошмарский и единственное что они исправно делают - всякие кряки и активаторы выносят. Трояны/вирусня/майнеры - только по праздникам.
     
     
  • 4.93, Аноним (108), 20:03, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, нод и каспер были лицензионные и обновлённые, а дрвеб самый свежий бесплатный cureit. Я не люблю чистить компы от малвари, поэтому не повторял, там просто надо было локалочку привести в порядок. И файлы выцепил для теста: запускаешь их, они заражают тебя криптолохерами и шпионами. Могу добавить только, что аваст ещё бесполезней нортона и мкафи (все обновлённые угу).
     

  • 1.34, vz_2 (?), 15:02, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Подозрительно, в списке нет Windows Defender.
     
     
  • 2.35, vz_2 (?), 15:05, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вернее уже Microsoft Defender
     
  • 2.61, Аноним (54), 18:01, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Намёк?
     
  • 2.70, Аноним (70), 18:26, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть же.
     
     
  • 3.128, JL2001 (ok), 11:54, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть же.

    это для макоси который?

     
  • 2.73, Аноним (-), 18:47, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Винда не нужна.
     

  • 1.39, robot228 (?), 15:57, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    не ав а помойка какая-то ну разве что каспер может претендовать на звание подручный фсб т.е. наверное знали об этом но не исправляли целенаправленно.
    почему нету нода дрвеба и от мс - загадка.
     
  • 1.42, Ordu (ok), 16:22, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А как антивирус может избежать такого? Мне в голову приходит только что-то в стиле:

    chdir(downloads_dir_name);
    if(av_check(downloaded_file_name)) {
        unlink(downloaded_file_name);
    }

    Но довольно уродливо жеж:

    1. chdir надо делать, фактически манипулируя глобальным состоянием процесса, что сакс.
    2. антивирь висит фоновым процессом, и если он делает chdir в другую файловую систему, то хрен её отмонтируешь, пока он оттуда не свалит, что тоже минус
    3. race-condition не убирается полностью. В смысле уязвимость устраняется, но а если кто-нибудь в это время сделает mv, и заменит файл? Первый файл будет удалён этим mv, а мы удалим то, что придёт на замену.

    Можно подключить inotify, но мне кажется это не спасёт полностью.

     
     
  • 2.46, Аноним (46), 16:41, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1) вместо chdir + unlink можно сделать unlinkat
    2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории
    3) гонка внутри директории не убирается, но хотя бы есть гарантия, что файл удаляется из нужной директории, а не из /etc
     
     
  • 3.119, Ordu (ok), 02:07, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > 1) вместо chdir + unlink можно сделать unlinkat

    То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd.

    > 2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории

    Нет, ежели у процесса текущая директория на разделе, то его не отмонтировать. Приходится выяснять что за процесс и прибивать его.

    > 3) гонка внутри директории не убирается, но хотя бы есть гарантия, что
    > файл удаляется из нужной директории, а не из /etc

    Да, я согласен. Но всё равно интересно. По-моему без API позволяющего лочить директории или пути на уровне ядра, не получится писать без race condition.

     
     
  • 4.129, Аноним (46), 13:39, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd.

    Я ничего не говорил про абсолютный путь до файла. Я имел в виду это:

    int dirfd = open(path_to_dir, O_DIRECTORY);
    int file = openat(dirfd, filename);
    if(av_check(file) == INFECTED) {
        unlinkat(dirfd, filename);
    }
    close(file);
    close(dirfd);

     
     
  • 5.135, Ordu (ok), 18:54, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А, круто-круто.
     
  • 2.50, Аноним (108), 16:45, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Запоминать иноду проверяемого файла и удалять по ней? И после удаления убеждаться, не появилось ли чего на месте удалённого? Сабж из новости не баг, а фича, как же бесит софт, файлы которого не переместить в другое место подобным образом.
     
     
  • 3.52, Аноним (46), 16:53, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как удалить файл по inode? unlink принимает путь, а не inode
     
     
  • 4.55, Аноним (108), 17:26, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А как удалить файл по inode? unlink принимает путь, а не inode

    debugfs емнип

     
  • 3.95, КО (?), 20:19, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Запоминать иноду проверяемого файла и удалять по ней?

    Если в ФС есть такое понятие. :)

    А вообще уязвимость чисто синтетическая. Вредоносу надо:
    1. Успеть попасть на атакуемую систему.
    2. Запустится
    3. Подсунуть себя сканеру
    4. устроить гонку.
    5. поменять ссылку.
    6. победить.

    Еще как способ школьнику снести антивирус в классе, как-то. И то надо суметь успеть гонку сделать.

     
     
  • 4.96, Аноним (108), 20:32, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно. А то и попросить разбудить, когда тебя кто-то трогает. Что до проникнуть… Сейчас кончено всё больше через жит в браузерах, раньше можно было постучаться в закрытый порт и попроситься в духе "виндоус, дорогая, пусти меня, пожалуйста, мне тут надо проникнуть" и всё. Не так и давно это было.

    А схожее понятие вроде же есть везде? Я не специалист по фс, но, как мне видится, без уникального идентификатора ничего бы не работало.

     
     
  • 5.101, КО (?), 20:58, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно

    Сначала надо при работающей проактивной защите выполнить пункты 1-2. Попытаться перехватить операции к ФС раньше АВ ибо с работающим он не позволит (жадный). Ну и угадать со временем (подстроясь под конкретный с конкретным набором баз).

     
     
  • 6.118, Ordu (ok), 01:59, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно
    >  Сначала надо при работающей проактивной защите выполнить пункты 1-2. Попытаться перехватить
    > операции к ФС раньше АВ ибо с работающим он не позволит
    > (жадный). Ну и угадать со временем (подстроясь под конкретный с конкретным
    > набором баз).

    av запрещает прикладным программам пользоваться inotify?

     
  • 2.51, Аноним (46), 16:49, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И ещё насчёт 3 — не уверен, что делается именно так, но антивирус может проверить файл на вирусы, и если он заражён, поместить в свою внутреннюю директорию с карантином, в которой настроены нужные права и которой он управляет единолично. В ней уже можно сверить номер inode с номером inode заражённого файла — если совпадают, удалить, если нет — восстановить.
     
     
  • 3.127, Аноним (62), 10:14, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только для этого надо иметь отдельный карантин для каждой точки монтирования. Кто-то реально так делает?
     
     
  • 4.130, Аноним (46), 13:40, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, именно так и делают.
     
  • 2.68, Аноним (70), 18:25, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    1. Вместо chdir можно использовать абсолютный путь.
    2. Насколько это критично для /home?
    3. Нужно работать не с путевым именем, а файловым дескриптором.
     
     
  • 3.117, Ordu (ok), 01:58, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. Вместо chdir можно использовать абсолютный путь.

    Проблема которую надо устранить -- это возможность для злоумышленника поймать момент когда av_check запущен, а unlink ещё не сделан, удалить одну из директорий этого абсолютного пути и заменить её на симлинк на /etc.

    > 2. Насколько это критично для /home?

    А если это не /home? Я допустим после неоднократных переездов с одного диска на другой пришёл к раскладу где /home/me содержит много чего, но все downloads, torrents, porn и прочие объёмные хранилища на отдельном разделе. Так проще переезжать и проще добавить туда ещё диск. И в случаях когда диск переполняется, переполняется не /home/me, а вот та помойка.

    То есть, я не думаю, что это критично -- антивирус и прибить можно, если что, -- но всё равно это такая вещь, которой хотелось бы избежать.

    > 3. Нужно работать не с путевым именем, а файловым дескриптором.

    Как удалить файл через файловый дескриптор?

     
  • 2.72, Аноним (72), 18:44, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Легко может избежать, если ты его не поставишь!
     

  • 1.57, Аноним (57), 17:34, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    POSIX устарел - нужно менять его
     
     
  • 2.69, Аноним (70), 18:26, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже заменили на SUS.
     
  • 2.76, Аноним (75), 18:51, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Fucsia OS не POSIX-совместимая.
     
     
  • 3.107, Аноним (70), 22:04, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    гугловцы же не наркоманы. Написали, что хотели под задачу. Они уже порядком подзадолбались участвовать в ненужных обсуждениях.
     
  • 2.110, snmp agent (?), 23:00, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, проблема по идее не новая:
    https://www.linux.org.ru/forum/security/14137656

    Интересно, как это фиксили те, кто пофиксил. У них какой-нибудь модуль ядра или просто усложнили эксплуатацию, приблизив проверку к месту вызова unlink?

     

  • 1.71, Iron_Bug (?), 18:38, 21/04/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +13 +/
     
     
  • 2.92, Аноним (92), 20:01, 21/04/2020 Скрыто модератором
  • –7 +/
     
     
  • 3.100, K50 (?), 20:50, 21/04/2020 Скрыто модератором
  • +4 +/
     
     
  • 4.124, Аноним (92), 09:17, 22/04/2020 Скрыто модератором
  • –2 +/
     
  • 4.125, Аноним (92), 09:18, 22/04/2020 Скрыто модератором
  • +/
     
     
  • 5.133, Michael Shigorin (ok), 15:00, 22/04/2020 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (5)

  • 1.77, Аноним (77), 18:56, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Офигеть Откуда они все взялись Можно и в консоль пердолиться, и гуи есть, и ... большой текст свёрнут, показать
     
     
  • 2.83, Аноним (108), 19:09, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это разве не странно, зачем программе, которая исключительно только показывает страшные картинки и визжит, имитируя бурную деятельность, столько всего? Хотя в новые версии встроили алгоритмы поиска интересных документов и отправки их на сервера всех заинтересованных, но для это ведь тоже это всё не нужно?
     
  • 2.91, Аноним (77), 19:56, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Требования все адекватные Для отображения графики нужна графика, для проверки ф... большой текст свёрнут, показать
     
     
  • 3.103, Аноним (62), 21:28, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > кому вообще потребовался АНТИВИРУС в линуксе?

    Задай этот вопрос ФСТЭКу.

    > SELinux прекрасно блокирует активность антивируса

    Скажу по большому секрету: ни фига он не блокирует.

     

  • 1.78, Суп из потрошков (?), 18:56, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Оу, значит встроенный антивирус виндоуз не подвержен. Хорошо.
     
     
  • 2.89, и.о.К.О. (?), 19:34, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у него другая беда. файловые операции замедляет в 17 раз.
    копирование диры с множеством файлов
    без антивирусов выполняется за 2 секунды,
    с ним за 33.
    с касперским "всего" за 24.
     

  • 1.94, Аноним (-), 20:08, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура, теперь мы будем знать как Доктор Вэб и Касперский следят за нами.
     
  • 1.102, Аноним (102), 21:24, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучший антивир - его отсутствие. В крайнем случае - когда его не слышно.
     
     
  • 2.106, Аноним (108), 22:03, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Когда его не слышно, он всё ещё тормозит и шпионит. Удаляет файлы (актуально для любителей игрушечек -- пока авторы не пожалуются в каждый антивирус, у всех покупателей будут проблемы) и генерирует глюки в софте.
     
  • 2.116, Аноним (116), 01:14, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надеюсь всех этих кaсперов и прочих прeдaтeлей Poдины отдадут под трибyнaл.
     

  • 1.111, Daemon (??), 23:49, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А нефига сидеть под админом/root'ом. Исключение только разве что BSD. Там со времен Морриса ничего не появилось. Так что можно смело под root сидеть.
     
     
  • 2.134, Michael Shigorin (ok), 15:07, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Исключение только разве что BSD. Там со времен Морриса ничего
    > не появилось.

    А это померещилось? -- http://www.nixp.ru/news/12639.html

    > Так что можно смело под root сидеть.

    Мальчик, никогда взрослые дяди не говорили, почему именно работать рутом -- плохая примета?  Что такое privsep не только в сервисах, а и в повседневной работе?..

    Понимаю, что умных дядь в окрестности могло просто не оказаться -- одни олухи с криками про "ляликс" (порой в майках win2k, как Dear Never).  Но это тоже не повод головой-то совсем не думать.

     
     
  • 3.140, Daemon (??), 20:02, 25/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А это померещилось? -- http://www.nixp.ru/news/12639.html

    Во первых 2014 год. Во вторых PHP и LAMP/BAMP стек дырявый как дуршлаг. Базовую систему это не затрагивает.


    > Мальчик, никогда взрослые дяди не говорили, почему именно работать рутом -- плохая
    > примета?  Что такое privsep не только в сервисах, а и
    > в повседневной работе?..
    > Понимаю, что умных дядь в окрестности могло просто не оказаться -- одни
    > олухи с криками про "ляликс" (порой в майках win2k, как Dear
    > Never).  Но это тоже не повод головой-то совсем не думать.

    Мальчик скоро дедушкой станет :) 53 как никак :)

    Предпочитаю не лазить лишний раз в настроенные сервера вообще. А сидеть на инструментальной машине, где собираешь/пишешь под рутом ничего зазорного не вижу. Дирректива NOPASSWD в sudo не сильно уступает руту. Упадет - бэкап + git. Дома на мультимедиа-компе да - юзер. Но там и sudo разве что для reboot вводить если в очередной раз после apt update все упало )))))

     

  • 1.114, Аноним (114), 00:38, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    То есть, чтобы подхватить вирус на линукс, нужно поставить антивирус?)
     
  • 1.121, Аноним2 (?), 06:17, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще, у всех вменяемых антивирусов модульная архитектура с проверкой целостности собственным файлов. Там что, чтобы антивирус вынести полностью - это нам нужен зловред, который под конкретный АВ создаст штук 5-6 таких обманок, чтобы вырубить АВ полностью и безвозвратно. То есть, нам нужен некий главный троянец, который будет плодить мелких зловредов с их подменой на ссылки, исходя из детектируемого АВ, чтобы далее, после убийства АВ, загрузить либо троян для скачивания чего-нибудь ценного, либо шифратор для крипто-вымогательства. Я плохо представляю, чтобы АВ пропустил такое светопредставление у себя под носом.

    Причем довольно интересный момент "в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями" - то есть уже запущенный АВ эта атака выгрузить и не сможет, а значит он вполне себе забьёт тревогу, что его файлы удаляют, что даст пользователю возможность как-то среагировать (выдернуть шнур:)). Про Linux не говорю, так как там и АВ, и вирусы - это из разряда мифологии. :)

    В общем, мне кажется вендоры подзабили, так как реально этим воспользоваться слишком сложно. В видео человек в консоли команды отдает, но это синтетика в чистом виде. Нагляднее было бы показать, как некий рандомный файл, например, из почты, скачанный на ПК и запущенный райткликом сможет сделать что-то действительно критическое для системы или пользовательских данных, используя данную уязвимость.

    П.С. Пользуюсь Eset-ом на оффтопике, как очень удобным и наглядным фаерволом с минимальной нагрузкой на систему. Закрыл все лишнии сетевые активности, настроил правила для контроля автозагрузки и доступа к рабочим файлам. Доволен и спокоен. Необходимости в чем-то более мощном на Windows не вижу, а на Linux и тем паче.

     
  • 1.136, sazh (?), 01:27, 23/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я понял одно что антивирус на линуксе зло в двойне умножено на куб))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру