Security-researchers van Rack 911 Labs hebben in 28 antivirusprogramma’s een securitybug gevonden. Hackers kunnen door middel van een fout in het systeem bestanden verwijderen, malware installeren en crashes veroorzaken.
Het rapport van Rack911 Labs verwijst naar een ‘symlink race’. Een symlink race vulnerability vindt plaats wanneer je een kwaadaardig en een legitiem bestand aan elkaar koppelt. Uiteindelijk kun je kwaadaardige acties uitvoeren op het legitieme bestand. Kwetsbaarheden in de symlink worden vaak gebruikt om kwaadaardige bestanden te koppelen aan items met een higher-privilege, wat resulteert in Elevation-of-Privilege (EoP)-aanvallen. Dit gebeurt in het korte tijdsbestek tussen het scannen op een virus en het verwijderen van een bestand.
Populaire antivirusprogramma’s zoals Microsoft Defender, McAfee Endpoint Security en Malwarebytes beschikken over het beveiligingslek. De meeste bedrijven, waaronder Symantec, McAfee en AVG, hebben de fout echter al gepatcht. Volgens Rack911 zijn er nog enkele bedrijven die hun software niet hebben bijgewerkt. Deze bedrijven worden niet bij naam genoemd om hun security niet te ondermijnen.
Gemakkelijk te misbruiken
De onderzoekers hebben getest hoe gemakkelijk het was om de integriteit van een antivirusprogramma’s aan te tasten. Ze waren in staat om belangrijke bestanden binnen de antivirussoftware te verwijderen zodat het programma zinloos werd. Ook konden ze belangrijke bestanden van het besturingssysteem verwijderen, waardoor het complete bestuurssysteem opnieuw geïnstalleerd moet worden. Deze testen waren succesvol in Windows, macOS en Linux.
“Vergis je niet, het gebruik van deze exploits was vrij onbeduidend en doorgewinterde malware-auteurs zullen geen probleem hebben om deze tactiek te bewapenen”, aldus het rapport.
Hoewel de meeste bedrijven hun software hebben gepatcht, is het nog steeds mogelijk dat variaties op de Symlink bugs opduiken.
8 uur geleden
