Kerentanan yang memungkinkan penghapusan file arbitrer melalui sebagian besar program antivirus diungkap
(rack911labs.com)Telah diumumkan sebuah kerentanan yang memungkinkan penghapusan file arbitrer dengan menyalahgunakan secara terbalik mekanisme program antivirus saat mengarantina file berbahaya. (Bahasa Inggris) Kerentanan ini ditemukan pada musim gugur 2018 oleh divisi keamanan perusahaan hosting RACK911, dan kini dikabarkan sudah ditambal oleh para pengembang antivirus utama.
Kerentanan ini pada dasarnya memanfaatkan adanya sedikit jeda waktu antara saat fitur pemantauan real-time antivirus menemukan file berbahaya dan saat file tersebut benar-benar dikarantina, serta fitur tautan file/direktori pada sistem berkas (di Linux atau macOS menggunakan symbolic link, di Windows menggunakan Directory Junction). Sederhananya, pelaku menyiapkan file yang sengaja memicu fitur pemantauan real-time antivirus—misalnya file uji EICAR—lalu ketika antivirus mendeteksinya, file itu diam-diam diganti sebelum dikarantina dengan symbolic link menuju file yang ingin dihapus. Dengan begitu, antivirus akan memindahkan file yang sebenarnya normal ke area karantina. Jika file yang dikarantina itu adalah file penting sistem operasi, ini dapat menjadi serangan penolakan layanan terhadap sistem, dan jika itu adalah file yang diperlukan untuk menjalankan antivirus, maka sistem keamanannya bisa dilumpuhkan. Teknik ini memang bergantung pada timing, tetapi tampaknya cukup berhasil hanya dengan pengulangan sederhana melalui batch file.
Video proof-of-concept untuk Windows:
https://www.youtube.com/watch?v=MblUiyazdAc
Video proof-of-concept untuk macOS:
Belum ada komentar.