ज़्यादातर antivirus programs से मनचाही फ़ाइल हटाई जा सकने वाली vulnerability सार्वजनिक
(rack911labs.com)antivirus program जिन तंत्रों का उपयोग malicious files को quarantine करने के लिए करते हैं, उनका उल्टा दुरुपयोग करके मनचाही फ़ाइल हटाई जा सकने वाली एक vulnerability प्रकाशित की गई है। (अंग्रेज़ी) यह vulnerability 2018 की शरद ऋतु में hosting company RACK911 की security division ने खोजी थी, और अब बताया गया है कि प्रमुख antivirus developers ने इसे patch कर दिया है.
यह vulnerability मूल रूप से इस बात का फायदा उठाती है कि antivirus program का real-time monitoring feature malicious file मिलने के बाद उसे quarantine करने तक थोड़ा delay लेता है, और file system में मौजूद file/directory linking features का उपयोग करती है (Linux या macOS में Symbolic link, Windows में Directory Junction)। सरल शब्दों में, जानबूझकर ऐसा file तैयार किया जाता है जो antivirus program के real-time monitoring feature में पकड़ा जाए (उदाहरण के लिए EICAR test file), फिर जैसे ही antivirus उसे detect करे, quarantine होने से पहले उसे हटाकर चुपचाप उस फ़ाइल के symbolic link से बदल दिया जाता है जिसे आप हटवाना चाहते हैं। तब antivirus एक बिल्कुल सामान्य फ़ाइल को quarantine folder में ले जाएगा। अगर इस तरह quarantine की गई फ़ाइल operating system की महत्वपूर्ण फ़ाइल हो, तो यह system पर denial-of-service attack बन सकता है, और अगर वह antivirus के काम करने के लिए ज़रूरी फ़ाइल हो, तो security system को निष्क्रिय किया जा सकता है। यह technique timing पर निर्भर करती है, लेकिन लगता है कि batch file द्वारा साधारण दोहराव से भी पर्याप्त सफलता मिल सकती थी.
Windows के लिए proof-of-concept वीडियो :
https://www.youtube.com/watch?v=MblUiyazdAc
macOS के लिए proof-of-concept वीडियो :
अभी कोई टिप्पणी नहीं है.