Эксперты исследовательской компании RACK911 Labs протестировали популярны антивирусы под Windows, macOS и Linux и обнаружили, что в большинстве содержится уязвимость с похожими последствиями. Она позволяет злоумышленниками удалять любые файлы с компьютера жертвы, в том числе и файлы операционной системы.

Уязвимость позволяет манипулировать антивирусом во время пребывания его в так называемом «состоянии гонки» (race condition). Это промежуток времени между обнаружением вредоносного файла и запуском процесса удаления или перемещения в карантин. Использование уязвимости основано на том, что в любой системе антивирусы выполняют файловые операции с наивысшим уровнем прав.

Захватив антивирус в момент «состояния гонки» злоумышленник может заставить его удалить некий собственный ключевой компонент, что выведет программу из строя. Также можно испортить операционную систему.

Для эксплуатации уязвимости нужен любой файл, на который среагирует антивирус. В промежутке «состояния гонки» злоумышленник должен успеть подменить этот файл на символическую ссылку на другой файл, который хакеру нужно удалить. В Windows для этого нужно подмена каталога с помощью точки соединения.

Протестированы rack911 Labs антивирусы не проверяли ссылки, по которым удаляли файлы. Это позволяло удалять любой компонент как самого антивируса, так и операционной системы.

Впервые специалисты RACK911 Labs обнаружили возможность взлома антивируса с помощью символических ссылок еще осенью 2018, однако до апреля 2020 они не публиковали эту информацию, предоставив разработчикам время для исправления.

Для демонстрации эксперты RACK911 Labs сломали таким образом антивирус McAfee под Windows. Они удалили его важный компонент EpSecApiLib.dll.

В RACK911 Labs говорят, что подобная атака является несложной для опытного злоумышленника. Единственное, что может помешать – его собственная медлительность, за которую он не успеет воспользоваться «состоянием гонки». Но злоумышленник может повторить загрузку вредоносного файла на ПК и запустить цикл заново.

Дыра присутствует как в малоизвестных антивирусных решениях, так и в продуктах крупных компаний. Она присутствует в Avast, Avira, Comodo Endpoint Security, BitDefender GravityZone, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Kaspersky for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere, Kaspersky Endpoint Security.

Под macOS уязвимыми оказались антивирусы AVG, BitDefender Total Security, Eset Cyber Security, Kaspersky Internet Security, McAfee Total Protection, Microsoft Defender (BETA), Norton Security, Sophos Home и Webroot Secure Anywhere.

Список для Linux: BitDefender GravityZone, Comodo Endpoint Security, Eset File Server Security, F-Secure Linux Security, Kaspersy Endpoint Security, McAfee Endpoint Security Sophos Anti-Virus for Linux.