محققان RACK911 Labs در گزارشی از وجود یک آسیب‌پذیری Symlink Race در 28 ضدویروس مطرح خبر داده‌اند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، آزمایشگاه RACK911 اعلام کرده که بهره‌جویی (Exploit) از آسیب‌پذیری مذکور مهاجم را قادر به حذف فایل‌های مورد استفاده ضدویروس یا سیستم عامل کرده و در نهایت می‌تواند منجر به از کار افتادن سیستم شود.
Symlink Race مربوط به زمانی است که یک فایل مخرب و معتبر با یکدیگر لینک شده و موجب اجرای عملیات مخرب در فایل معتبر می‌شود. کاربرد آسیب‌پذیری‌های Symlink Race برای مهاجمان در اغلب موارد لینک کردن فایل‌های مخرب با مواردی با سطح دسترسی بالاست که در حملات با هدف ترفیع امتیازی (Elevation-of-Privilege) صورت می‌پذیرد.
Symlink Race اشکالی جدی و البته قدیمی است که از پردازش‌های همزمان در سیستم‌های عامل ناشی می‌شود. از گذشته بسیاری از برنامه‌ها به آن آسیب‌پذیر شناخته شده‌اند.
RACK911 از سال 2018 مشغول تحقیق در خصوص این ضعف امنیتی در محصولات ضدویروس بوده است.
نتیجه بررسی‌های این شرکت نشان می‌دهد که 28 محصول زیر در بسترهای Mac، Linux و Windows آسیب‌پذیر بوده است.
در سیستم عامل Windows:
  •     Avast Free Anti-Virus
  •     Avira Free Anti-Virus
  •     BitDefender GravityZone
  •     Comodo Endpoint Security
  •     F-Secure Computer Protection
  •     FireEye Endpoint Security
  •     (Intercept X (Sophos
  •     Kaspersky Endpoint Security
  •     Malwarebytes for Windows
  •     McAfee Endpoint Security
  •     Panda Dome
  •     Webroot Secure Anywhere
در سیستم عامل macOS:
  •     AVG
  •     BitDefender Total Security
  •     Eset Cyber Security
  •     Kaspersky Internet Security
  •     McAfee Total Protection
  •     (Microsoft Defender (BETA
  •     Norton Security
  •     Sophos Home
  •     Webroot Secure Anywhere
در سیستم عامل Linux:
  •     BitDefender GravityZone
  •     Comodo Endpoint Security
  •     Eset File Server Security
  •     F-Secure Linux Security
  •     Kaspersy Endpoint Security
  •     McAfee Endpoint Security
  •     Sophos Anti-Virus for Linux
RACK911 اعلام کرده که موضوع را به شرکت‌های سازنده این محصولات گزارش کرده بوده است.
در پی اطلاع‌رسانی RACK911، اکثر سازندگان ضدویروس، این آسیب‌پذیری را در محصولات خود ترمیم کرده‌اند؛ در عین حال، RACK911 از تعداد کمی از سازندگان که اقدام به عرضه اصلاحیه ننموده‌اند – بدون ذکر نام آنها – اظهار تأسف کرده است. برخی از شرکت‌ها از جمله موارد زیر نیز اقدام به انتشار توصیه‌نامه به‌صورت عمومی در خصوص آسیب‌پذیری مذکور کرده‌اند: به‌نظر می‌رسد تعدادی هم بی‌سروصدا اصلاحیه را عرضه و به‌صورت خودکار در محصولات خود اعمال کرده‌‌اند.
RACK911 گفته که این، ماهیت عملکرد محصولات ضدویروس است که آنها را به این نوع حملات، آسیب‌پذیر ساخته است. در فاصله بین پویش شدن فایل‌ها و تشخیص مخرب بودن آنها تا زمانی که ضدویروس اقدام به حذف تهدید می‌کند یک وقفه وجود دارد. حمله مبتنی بر جایگزین کردن فایل مخرب با لینک یک فایل معتبر در این بازه زمانی است.
محققان اسکریپت‌هایی را به‌عنوان نمونه اثبات‌گر (Proof-of-Concept) توسعه داده‌اند که با سوءاستفاده از Symlink Race و از طریق روش‌های موسوم به Directory Junction – در Windows – و Symbolic Link – در Mac و Linux – فایل‌های مخرب را به فایل‌های معتبر پیوند می‌زنند.
بدین‌ترتیب با شناسایی فایل مخرب، در حین تلاش محصول برای حذف آن، ضدویروس آسیب‌پذیر که در تسخیر مهاجم قرار گرفته فایل‌های خود یا فایل‌های حساسی که در کنترل سیستم عامل است را حذف می‌کند.
RACK911 اعلام کرده که در جریان این بررسی‌ها در بسترهای Windows، macOS و Linux به‌راحتی قادر به حذف فایل‌های مهم مرتبط با نرم‌افزار ضدویروس و حتی حذف فایل‌های کلیدی سیستم عامل بوده است. به‌نحوی که انجام این اقدامات موجب بی‌اثر شدن ضدویروس یا بروز اشکالاتی جدی می‌شده که حل آنها مستلزم نصب کامل سیستم عامل می‌بوده است.
اگر چه کد نمونه اثبات‌گر RACK911 تنها فایل‌ها را حذف می‌کند اما این محققان خاطر نشان کرده‌اند که مهاجم‌می تواند طوری اقدام به رونویسی فایل‌ها کند که در نهایت کنترل کامل سیستم در اختیار او قرار بگیرد.
لازم به ذکر است بهره‌جویی از آسیب‌پذیری مورد اشاره RACK911 مستلزم آن است که مهاجم موقعیت و فرصت دریافت و اجرای کد را بر روی دستگاه داشته باشد. لذا آسیب‌پذیری مذکور امکانی نیست که مهاجم را قادر به رخنه به سیستم کند. در عوض تکنیکی برای بهبود دسترسی او بر روی سیستم هک شده است.
به‌عبارت دیگر، بهره‌جوی این نوع باگ تنها می‌تواند به‌عنوان کد مخرب در مرحله بعد از آلوده یا هک شدن دستگاه، دریافت و اجرا شده و با عملکرد ترفیع سطح دسترسی، محصولات امنیتی را غیرفعال کرده یا سیستم را خرابکارانه از کار بیندازد.
محققان تأکید کرده‌اند که این موضوع نباید موجب کوچک شمردن خطر آسیب‌پذیری شود؛ با این توضیح که هیچ مانعی برای مهاجمان در تجهیز بدافزارها و حملات خود به چنین تکنیک‌هایی وجود ندارد.
در حال حاضر، اکثر باگ‌هایی که RACK911 آنها را در محصولات ضدویروس یافته ترمیم شده است. در عین حال کشف محصولات ترمیم‌نشده کار دشواری نیست.
Symlink Race از قدیمی‌ترین باگ‌ها و دشوارترین‌ها موارد از لحاظ مقاوم‌سازی در تمامی سیستم‌های عامل از دهه‌های گذشته بوده است.
مشروح یافته‌های RACK911 در لینک زیر قابل دریافت و مطالعه است: منبع: (با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.