Đã có công bố về một lỗ hổng cho phép xóa các tệp tùy ý bằng cách lợi dụng ngược cơ chế cách ly tệp độc hại của các chương trình antivirus. (tiếng Anh) Lỗ hổng này được bộ phận bảo mật của nhà cung cấp dịch vụ hosting RACK911 phát hiện vào mùa thu năm 2018, và hiện được cho là đã được các hãng phát triển antivirus lớn vá lại.
Về cơ bản, lỗ hổng này khai thác việc tính năng giám sát thời gian thực của chương trình antivirus có một độ trễ nhỏ từ lúc phát hiện tệp độc hại đến khi thực hiện cách ly, cùng với chức năng liên kết tệp/thư mục trong hệ thống tệp (trên Linux hoặc macOS là Symbolic link, trên Windows là Directory Junction). Nói đơn giản, kẻ tấn công chuẩn bị một tệp cố ý bị tính năng giám sát thời gian thực của antivirus phát hiện (ví dụ tệp kiểm thử EICAR), rồi ngay khi antivirus phát hiện ra nó thì trước khi tệp bị cách ly sẽ lén thay thế nó bằng symbolic link trỏ tới tệp mà chúng muốn xóa. Khi đó antivirus sẽ chuyển một tệp hoàn toàn bình thường vào khu cách ly. Nếu tệp bị cách ly theo cách này là tệp quan trọng của hệ điều hành thì đây sẽ trở thành một cuộc tấn công từ chối dịch vụ đối với hệ thống; nếu đó là tệp cần thiết cho hoạt động của antivirus thì đồng nghĩa với việc làm tê liệt hệ thống bảo mật. Dù kỹ thuật này đòi hỏi yếu tố thời điểm, có vẻ như chỉ với việc lặp đơn giản bằng batch file cũng đã đủ để thành công.
Video proof-of-concept cho Windows :
https://www.youtube.com/watch?v=MblUiyazdAc
Video proof-of-concept cho macOS :
Chưa có bình luận nào.