Çoğu antivirüs programıyla rastgele dosyaları kaldırabilmeyi sağlayan bir güvenlik açığı açıklandı
(rack911labs.com)Antivirüs programlarının kötü amaçlı dosyaları karantinaya alma mekanizmasını tersine suistimal ederek rastgele dosyaları kaldırabilmeyi sağlayan bir güvenlik açığı duyuruldu. (İngilizce) Bu açık, 2018 sonbaharında hosting şirketi RACK911'in güvenlik birimi tarafından keşfedildi ve şu anda başlıca antivirüs geliştiricilerinin bunu yamaladığı belirtiliyor.
Bu açık, temelde antivirüs programlarının gerçek zamanlı izleme özelliğinin kötü amaçlı dosyayı tespit ettikten sonra onu karantinaya alana kadar kısa bir gecikme olması ve dosya sistemindeki dosya/dizin bağlama özelliğinin uygulanmasına dayanıyor (Linux ve macOS'ta Symbolic link, Windows'ta Directory Junction kullanılıyor). Basitçe söylemek gerekirse, önce antivirüsün gerçek zamanlı izleme özelliğine takılacak bir dosya (örneğin EICAR test dosyası) hazırlanıyor; antivirüs bunu algıladığında ise karantinaya alınmadan hemen önce dosya silinip yerine kaldırılmak istenen dosyanın symbolic link'i gizlice konuyor. Böylece antivirüs normal bir dosyayı karantinaya taşımış oluyor. Karantinaya alınan dosya işletim sisteminin önemli bir dosyasıysa bu sisteme karşı bir hizmet engelleme saldırısına dönüşebilir; antivirüsün çalışması için gerekli bir dosyaysa güvenlik sistemi felç edilmiş olur. Bu teknikte zamanlama önemli olsa da, görünüşe göre batch dosyasıyla yapılan basit tekrarlar bile başarı için yeterli olabiliyordu.
Windows için kavram kanıtı videosu:
https://www.youtube.com/watch?v=MblUiyazdAc
macOS için kavram kanıtı videosu:
Henüz yorum yok.