28 phần mềm diệt vi-rút chứa lỗ hổng symlink race |

Rate this post

Các nhà nghiên cứu từ công ty bảo mật RACK911 vừa thông báo rằng họ đã tìm thấy “lỗ hổng liên kết biểu tượng” trong 28 phần mềm diệt virus phổ biến trên thị trường hiện nay, bao gồm Microsoft Defender, McAfee Endpoint Security và Malwarebytes.

Liên kết tượng trưng (Symbolic link, còn được gọi là liên kết tượng trưng) là một cách tạo các phím tắt cho tệp / thư mục liên kết đến các tệp / thư mục khác. Người dùng có thể tạo các liên kết tượng trưng cho các tệp hoặc thư mục riêng lẻ. Theo báo cáo, lỗ hổng symlink race có thể bị hacker lợi dụng để xóa các tập tin quan trọng trong phần mềm diệt virus hoặc trên hệ điều hành máy tính, gây ra các lỗi nghiêm trọng, buộc chúng phải hỏng. cài đặt lại hệ điều hành máy.

Phát hiện "lỗ hổng cuộc đua liên kết tượng trưng" hơn 28 phần mềm chống vi-rút phổ biến

Lỗ hổng cuộc đua liên kết biểu tượng xảy ra khi máy tính liên kết tệp độc hại và tệp hợp pháp với nhau, sau đó thực hiện các hoạt động độc hại trên tệp hợp pháp. Đây là một phương pháp thường được tin tặc sử dụng để liên kết các tệp độc hại với các phần đặc quyền hơn, dẫn đến các cuộc tấn công Nâng cao Đặc quyền (EoP).

Trên thực tế, vấn đề này không phải là mới, đã từng xảy ra với các hệ điều hành cho phép nhiều tiến trình được thực thi cùng một lúc. Trong quá khứ đã có một số chương trình được khai thác theo cách tương tự.

Các chuyên gia của RACK911 đã nghiên cứu sự xuất hiện của các lỗ hổng trong cuộc đua liên kết tượng trưng trong phần mềm diệt vi rút từ năm 2018. Kết quả là 28 sản phẩm chống vi rút trên Linux, Mac và Windows có nguy cơ bị tấn công và RACK911 đã thông báo cho nhà cung cấp. Hầu hết các nhà cung cấp phần mềm chống vi-rút đã khắc phục sự cố trên sản phẩm. Một số công ty thừa nhận lỗ hổng bảo mật, trong khi những công ty khác âm thầm phát hành các bản vá bảo mật. Tuy nhiên, RACK911 không đặt tên cho phần mềm chưa được vá.

Theo các chuyên gia bảo mật, do cách thức hoạt động độc đáo, phần mềm diệt virus rất dễ bị tấn công bởi các lỗ hổng của cuộc đua liên kết tượng trưng. Phải mất một khoảng thời gian kể từ khi tệp được quét và bị coi là độc hại cho đến khi phần mềm chống vi-rút bắt đầu loại bỏ mối đe dọa. Khi đó, hacker sẽ tiến hành thay thế tập tin độc hại bằng một liên kết tượng trưng (symlink) để biến nó thành một tập tin hợp pháp.

Phát hiện "lỗ hổng cuộc đua liên kết tượng trưng" hơn 28 phần mềm chống vi-rút phổ biến

Các nhà nghiên cứu của RACK911 đã tạo ra các tập lệnh PoC (tập lệnh chứng minh khái niệm) tận dụng thời gian phần mềm đang quét vi-rút để liên kết tất cả các tệp độc hại và các tệp hợp pháp thông qua các nút (đường giao nhau thư mục) trên Windows và các liên kết tượng trưng trên Mac và Linux. Khi phần mềm chống vi-rút phát hiện một tệp độc hại và bắt đầu hoạt động, nó sẽ xóa nhầm tệp của chính nó hoặc các tệp quan trọng trong hệ điều hành. Từ đó, gây ra lỗi nghiêm trọng khiến máy không sử dụng được, phải cài lại hệ điều hành mới khắc phục được. Trong tương lai gần, các cuộc tấn công này sẽ trở nên nguy hiểm hơn nếu tin tặc mở rộng quy mô, viết lại các tập tin và chiếm đoạt hoàn toàn hệ thống máy tính của nạn nhân.

Trên thực tế, để thực hiện cuộc tấn công, hacker đã lợi dụng lỗ hổng để tải và chạy mã tấn công liên kết tượng trưng trên thiết bị trước khi bắt đầu “cuộc đua”. Điều này không giúp anh ta đột nhập vào hệ thống, nhưng có thể giúp truy cập vào hệ thống bị tấn công. Điều này có nghĩa là lỗ hổng này chỉ được khai thác trong giai đoạn hai của quá trình lây nhiễm phần mềm độc hại, nhằm tăng đặc quyền, vô hiệu hóa phần mềm độc hại hoặc làm hỏng hệ thống máy tính của nạn nhân.

Theo các chuyên gia bảo mật, những lỗ hổng dạng này khá phổ biến và tồn tại nhiều năm, có thể làm giảm hiệu quả của các phần mềm diệt virus. Mặt khác, tin tặc có thể lợi dụng lỗi này để khiến mã độc hoạt động hiệu quả hơn. Tuy nhiên, các nhà phát triển phần mềm chống vi-rút có kinh nghiệm sẽ khắc phục sự cố dễ dàng, trên tất cả các hệ điều hành. Các chuyên gia cũng khuyến cáo người dùng nên cập nhật liên tục phần mềm diệt virus để tự bảo vệ mình.

Thanh Thuy

Leave a Reply

Your email address will not be published.