Um grupo de pesquisadores em segurança do RACK911 descobriu que 28 dos principais softwares antivírus do mercado estavam suscetíveis a um método de exploração chamado “symlink race”. Ele leva esse nome por exigir velocidade para ser executado, explorando o intervalo de tempo entre um antivírus identificar um arquivo malicioso e apagá-lo do sistema.
O método funciona da seguinte forma: o hacker cria um arquivo malicioso com mesma estrutura e nome de outro arquivo importante dentro do computador da vítima. No intervalo entre o antivírus detectar o problema e apagar o item malicioso, o arquivo “convence” o antivírus de que o documento legítimo é que deve ser eliminado. Assim, o item malicioso substitui o original.
Explorando essa vulnerabilidade, um hacker poderia fazer várias ações, como forçar o antivírus a apagar arquivos essenciais para o sistema operacional, ou um documento importante que o usuário tenha em seu PC. Ou seja, conseguiria inserir e retirar itens do aparelho da vítima, tornando-o até incapaz de ser utilizado.
–
CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.
–
Os pesquisadores do RACK911 têm buscado bugs relacionados ao symlink race em antivírus desde 2018 e chegaram a uma lista com 28 soluções vulneráveis ao método. Depois do aviso do grupo, as empresas liberaram atualizações para livrar seus softwares do problema. São eles:
Windows
- Avast Free Anti-Virus
- Avira Free Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Computer Protection
- FireEye Endpoint Security
- Intercept X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- McAfee Endpoint Security
- Panda Dome
- Webroot Secure Anywhere
macOS
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot Secure Anywhere
Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset File Server Security
- F-Secure Linux Security
- Kaspersy Endpoint Security
- McAfee Endpoint Security
- Sophos Anti-Virus for Linux
O grupo também testou outros modelos de antivírus do mercado, que ainda contam com a vulnerabilidade. Contudo, não listou quais são eles.
O RACK911 lembra que, apesar dos bugs, a ação não é simples de ser realizada. Isso porque é preciso adicionar um arquivo no computador da vítima, o que exigiria acesso físico ou remoto ao aparelho. Assim, o symlink race funciona mais como um método depois que já se invadiu o computador do que um ataque inicial.
A descrição completa da pesquisa está disponível no site do RACK911.
Fonte: Canaltech
