17 antivírus derrubados em POC no Linux, Windows e Macintosh

Paulo Brito
29/04/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Lab mostra vulnerabilidade que existe na maioria dos antivírus, no pequeno intervalo entre o escaneamento e o bloqueio de arquivos suspeitos

A empresa de segurança RACK911 Labs, com sede em Las Vegas (NV), anunciou a descoberta de uma falha que pode neutralizar a ação de 17 soluções de antivírus para Windows, Macintosh e Linux. A empresa publicou em seu blog uma prova de conceito desenvolvida para Windows, excluindo um arquivo “.dll” que inutilizou o antivírus em operação. “Em nossos testes, pudemos excluir qualquer arquivo que não estava em uso no momento, incluindo a capacidade de interferir nas operações do antivírus”, afirma a empresa.  

A nota do RACK911 Labs afirma que a maioria dos softwares antivírus não leva em consideração o pequeno intervalo de tempo existente entre o escaneamento inicial, que detecta o arquivo malicioso, e a operação de limpeza que ocorre logo depois. “Um usuário local malicioso ou autor de malware geralmente pode utilizar nesse tempo uma junção de diretório (Windows) ou um link simbólico (Linux e macOS), que aproveitam as operações privilegiadas de arquivo, para desativar o software antivírus ou interferir no sistema operacional.

Segundo o RACK911 Labs, foi possível criar um método simples de utilizar junções de diretório (no Windows) e links simbólicos (no macOS e Linux) para transformar quase todos os softwares antivírus em ferramentas autodestrutivas. 

Embora seus produtos estejam na lista de antivírus testada, a Avast informou ao CISO Advisor que “O cenário descrito no artigo não se aplica aos produtos de Antivírus Avast ou AVG, gratuitos ou pagos,  porque as verificações feitas pelos módulos File Shield tanto Avast quanto AVG detectam e bloqueiam o ataque”. A RACK911 Labs afirma que a lista contém os produtos antivírus testados e cujos fornecedores confirmaram as vulnerabilidades.

O relatório da empresa informa que quase todos os fornecedores mencionados fizeram correções, acrescentando que “o objetivo desta divulgação não era nomear e envergonhar os fornecedores, mas chamar a atenção para a facilidade de aproveitar o software antivírus para torná-lo ferramenta destrutiva. Recebemos perguntas sobre software antivírus menos conhecido não listado nesta página e todos foram considerados vulneráveis. Nosso objetivo é apenas que todos os fornecedores de software verifiquem seu código quanto a possíveis ataques de junção de diretório e de link simbólico. Eles são tão fáceis de executar e, como demonstrado nesta página, podem ser incrivelmente perigosos!”

Veja o vídeo da prova de conceito na página seguinte

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest