ほとんどのアンチウイルスソフトで任意のファイルを削除できる脆弱性が公開
(rack911labs.com)アンチウイルスソフトが悪意あるファイルを隔離する仕組みを逆手に取り、任意のファイルを削除できる脆弱性が発表されました。(英語)この脆弱性は2018年秋にホスティング事業者 RACK911 のセキュリティ部門によって発見され、現在は主要なアンチウイルスベンダーが修正済みとのことです.
この脆弱性は基本的に、アンチウイルスソフトのリアルタイム監視機能が悪意あるファイルを発見してから隔離するまでにわずかな遅延があることと、ファイルシステム上のファイル/ディレクトリのリンク機能(Linux や macOS では Symbolic link、Windows では Directory Junction を使用)を応用したものです。簡単に言うと、意図的にアンチウイルスソフトのリアルタイム監視に引っかかるファイル(たとえば EICAR テストファイル)を用意し、アンチウイルスがこれを検知したら、隔離される前に消したいファイルへのシンボリックリンクにこっそり置き換えるというものです。するとアンチウイルスは正常なファイルを隔離領域へ移動してしまいます。こうして隔離されたファイルが OS の重要ファイルであればシステムに対するサービス拒否攻撃となり、アンチウイルスの動作に必要なファイルであればセキュリティシステムを無力化したことになります。この手法はタイミングが重要ではあるものの、バッチファイルによる単純な繰り返しだけでも十分に成功できたようです。
Windows 向け概念実証動画:
https://www.youtube.com/watch?v=MblUiyazdAc
macOS 向け概念実証動画:
まだコメントはありません。