【估你唔到】一個作業系統基本功能 廢盡防毒軟件武功
RACK911 Labs 安全研究人員揭露,佢哋發現幾乎所有防毒軟件都存在安全漏洞,令惡意軟件有可能反過嚟阻止軟件防毒功能,甚至廢咗成個操作系統嘅武功,連港人常用嘅 Kaspersky、McAfree、Microsoft Defender 都係名單之上。(詳細名單見內文)
大多數防毒軟件都會實時掃描硬碟入面嘅檔案,如果掃到有可疑嘅檔案存在,就會送去安全位置隔離或者直接刪除。研究人員就指出,問題就出喺由掃描文件到落實處理之間一段好短時間嘅空隙,加上呢類操作基本上要有系統最高權限先可以執行,變相就會形成咗缺口,大開中門以致出現安全漏洞同埋競爭條件(即係出現多個無時序嘅訊號,可以令程式不受控制),惡意程式就可以利用呢啲漏洞,乘機盜用特權,停止操作系統嘅保安同運作功能。
要驗證相關嘅漏洞存在,研究人員就提出只要利用 Windows 嘅目錄連接(Directory Junction)、以及 macOS 及 Linux 嘅符號連接(Symbolic Link),就足以令防毒軟件變成中毒陷阱。先講 Windows,因為 Windows 本身就存在一個唔需要高級權限就可以創建連接目錄嘅功能,惡意程式可以輕鬆利用呢個功能去同防毒軟件嘅安裝目錄創建連接,共通檔案內容,進而修改或刪除入面嘅檔案。研究人員以 McAfee Endpoint Security 做實驗,結果成功删除防毒軟件嘅檔案,干擾防毒效能。呢招應用喺其他 Windows 防毒軟件上,幾乎都可以攻破。(詳情可睇以下片段) https://www.youtube.com/embed/MblUiyazdAc?wmode=transparent&rel=0&feature=oembed
至於Linux 同 macOS方面,同樣係利用非特權用戶都用到嘅符號鏈接功能。研究人員今次以 Kaspersky 嘅Internet Security 進行測試,喺防毒軟件偵測到惡意軟件同嘗試去清理嘅時候,研究員利用當中 6 至 8 秒嘅時滯製造競爭條件狀態,繼而就進行遙距刪除檔案,癱瘓軟件嘅運作能力。
喺 RACK911 Labs 嘅測試當中,無論係 Windows、macOS 定係Linux,佢地都可以輕鬆刪走防毒軟件相關嘅重要檔案,令軟件失效,導致嚴重損壞,一定要重新裝過先可以用得返。佢哋更加發現真空期嘅時間長短唔係問題,只要以簡單嘅 loop 指令就可不停利用呢個漏洞。而喺特定情況下,入侵者直情可以更改文件閱讀權限,或者直接改變擁有權,去提升惡意軟件嘅帳戶權限。
係咪好驚呢!但原來團隊話自從 2018 年秋季開始已發現相關漏洞兼聯絡各個供應商,大部分都修補咗呢個漏洞,至於其他未有動靜嘅,就希望喺今次公開資料後,可以令對方盡快修補呢個安全漏洞啦。