باگ امنيتي خطرناك در ۲۸ آنتي ويروس مشهور كشف شد

محققان امنيتي مؤسسه‌ي تحقيقاتي RACK911 Labs در گزارش جديدي ادعا كردند آسيب‌پذيري موسوم به Symlink Race را در ۲۸ نرم‌افزار آنتي‌ويروس بزرگ كشف كرده‌اند. گروه امنيتي مي‌گويد مجرمان سايبري با سوءاستفاده از باگ مي‌توانند فايل‌هاي حساس و متخصصدي آنتي‌ويروس يا حتي سيستم‌عامل متخصص را پاك كنند؛ اقدامي كه به از‌كار‌افتادن نرم‌افزار يا سيستم‌عامل منجر مي‌شود و عملكرد كامپيوتر را مختل مي‌كند.

همان‌طوركه گفته شد، آسيب‌پذيري امنيتي پيداشده در باگ موجود در آنتي‌ويروس‌ها به‌‌نام Symlink Race شناخته مي‌شود. آسيب‌پذيري مذكور زماني رخ مي‌دهد كه فايل مخرب را به فايلي قانوني و سالم متصل كنيد. اين اتصال باعث اجراي كدهاي مخرب در فايل سالم مي‌شود. آسيب‌پذيري‌هاي اين‌چنيني عموما براي اتصال فايل‌هاي مخرب به فايل‌هايي با دسترسي بالا استفاده مي‌شوند؛ درنتيجه حمله‌هايي موسوم به Elevation-of-Privelege يا EoP را در سيستم‌هاي قرباني شاهد هستيم. متخصص كارشناسان امنيتي مي‌گويند امكان اجراي هم‌زمان فرايندها، يكي از آسيب‌پذيري‌هاي قديمي سيستم‌‌عامل‌ها محسوب مي‌شود و از مدت‌ها پيش، اختلال‌هاي متعددي براثر آن‌ها گزارش شده است.

گزارش امنيتي اخير مي‌گويد نرم‌افزارهاي آنتي‌ويروس به‌دليل طبيعت عملكردي خود، به چنين آسيب‌پذيري‌هايي مبتلا هستند. از زماني‌كه فايل‌هاي اسكن‌شده و برخي از آن‌‌ها مخرب شناسايي مي‌شوند تا زماني‌كه آنتي‌ويروس وارد عمل مي‌شود و تهديد را از بين مي‌برد، فاصله‌‌اي وجود دارد. مجرمان سايبري از همين زمان استفاده و فايل مخرب را ازطريق اتصال به فايلي سالم و قانوني جايگزين مي‌كنند. محققان امنيتي براي نشان‌دادن صحت گزارش خود، نمونه‌‌اي از اتصال فايل مخرب را پياده‌سازي كردند. آنتي‌ويروس براي پاك‌كردن فايل مخرب متصل به فايل سالم، درواقع فايل‌هاي سيستمي خود يا سيستم‌عامل را پاك كرد كه به اختلال عملكردي منجر شد.

در بخشي از گزارش RACK911 Labs مي‌خوانيم:

در آزمايش‌هاي عملي خود در ويندوز و مك و لينوكس توانستيم فايل‌هاي مهم مرتبط با نرم‌افزار آنتي‌ويروس را به‌راحتي پاك كنيم؛ فرايندي كه به از‌كار‌افتادن نرم‌افزار منجر شد. حتي فايل‌هاي اصلي سيستم‌عامل نيز در آزمايش پاك شدند كه درنهايت براي رفع اختلال ايجادشده، به نصب مجدد سيستم‌عامل نياز بود.

حمله‌هاي سايبري با بهره‌گيري از باگ كشف‌شده نيازمند حضور مجرم در موقعيتي هستند كه توانايي دانلود و اجراي كد حمله را در دستگاه داشته باشد. درنتيجه، چنين حمله‌هايي براي نفوذ استفاده نمي‌شوند و پس از نفوذ اوليه رخ مي‌دهند. مجرم سايبري با سوءاستفاده از حمله‌ي جديد،‌ نفوذ خود را عميق‌تر و تأثيرگذارتر مي‌كند؛ درنتيجه اين نوع باگ، تنها به‌عنوان حمله‌ي فاز دوم در آلودگي به بدافزار استفاده مي‌شود و متخصصدهايي همچون افزايش دسترسي مجرم سايبري يا غيرفعال‌كردن آنتي‌ويروس يا ازكارانداختن كامل سيستم دارد.

درحال‌حاضر، اكثر باگ‌هايي كه RACK911 Labs در آنتي‌ويروس‌ها كشف كرده، بسته‌ي امنيتي الحاقي پيدا كرده‌اند. به‌هرحال، شايد نمونه‌هايي مشابه در آينده‌ي نه‌چندان دور بازهم در سيستم‌ها پيدا شود. باگ‌هاي موسوم به Symlink Race از باگ‌هاي نرم‌افزاري قديمي‌‌ در دهه‌ي گذشته هستند كه رفع‌كردن آن‌ها هم به اقدام‌هاي پيچيده نياز دارد.