یک باگ امنیتی خطرناک در 28 آنتی ویروس کشف شده است

خدیجه زارعپور
سه‌شنبه, 09 اردیبهشت 1399

محققان امنیتی ادعا می‌کنند بسیاری از آنتی‌ویروس‌های مشهور به باگ امنیتی خطرناکی آلوده بوده‌اند که باعث از کار افتادن آنتی ویروس و از دسترس خارج شدن کنترل سیستم قربانی می‌شود.

بنا به گزارشات مؤسسه‌ی تحقیقاتی RACK911 Labs، محققان امنیتی این موسسه آسیب‌پذیری با نام به Symlink Race را در ۲۸ نرم‌افزار آنتی‌ویروس بزرگ کشف کرده‌اند. گویا هکرها به واسطه این باگ می‌توانند فایل‌های مهم و کاربردی آنتی ویروس و سیستم عامل کاربر را پاک کرده و باعث از کار افتادن سیستم عامل کاربر شوند.
این آسیب پذیری Symlink Race زمانی رخ می‌دهد که یک فایل مخرب به فایل سالم و قانونی وصل شود و همین اتصال باعث شود که کدهای مخرب در فایل قانونی اجرا شوند.

معمولا این نوع آسیب پذیری‌ها برای اتصال فایل‌های مخرب به فایل‌هایی با دسترسی بالا استفاده می‌شوند و حملاتی با نام Elevation-of-Privelege یا EoP را در سیستم‌های قربانی انجام می‌دهند. البته ناگفته نماند که کارشناسان معتقدند که امکان اجرای هم‌زمان فرایندها، یکی از آسیب‌پذیری‌های قدیمی سیستم‌عامل‌ها به حساب می‌آید که بارها و بارها دلیل ایجاد اختلالات مختلف در سیستم بوده‌اند.

این گروه امنیتی مدعی شده‌اند که از دو سال پیش مشغول بررسی وجود باگ‌های امنیتی در آنتی ویروس‌ها هستند و حالا 28 سرویس در سیستم عامل لینوکس و مک و ویندوز را یافته‌اند که به آسیب پذیری شدیدی دچارند. گویا این موسسه پس از کشف آسیب پذیر‌ی‌ها، این موضوع را به اطلاع سازندگان نرم افزارها رسانده است و گویا همه آن‌ها باگ‌ها را رفع کرده‌اند اما تنها بعضی از آن‌ها، رسما وجود باگ و رفع آن را اطلاع رسانی کرده‌اند.

به اعتقاد این گروه امنیتی، آنتی ویروس‌ها به دلیل ماهیتشان، همواره از این آسیب پذیری‌ها رنج می‌برند. درواقع بین اسکن فایل‌ها توسط آنتی ویروس و شروع عمل کردن آنتی ویروس، یک فاصله‌ای وجود دارد که هکرها از همین فاصله برای اتصال فایل مخرب به فایل‌های قانونی استفاده می‌کنند. جالب اینجاست که آنتی ویروس زمانی که می‌خواهد فایل مخرب متصل به فایل قانونی را پاک کند، شروع به حذف فایل‌های سیستمی خود یا سیستم عامل می‌کند. همین موضوع باعث ایجاد اختلال در عملکرد آنتی ویروس و سیستم عامل می‌شود.

حتی در آزمایشی که محققان این موسسه انجام داده‌اند، متوجه شده‌اند که این مشکل باعث پاک شدن برخی فایل‌های آنتی ویروس و سیستم عامل شده است. این پاک شدن فایل‌ها هم باعث از کار افتادن آنتی ویروس و حتی ایجاد اختلال در سیستم عامل شده است. گویا این اختلال به گونه‌ای بوده است که این محققان مجبور شده‌اند دوباره سیستم عامل را نصب کنند.

حتی گفته می‌شود که این باگ می‌تواند به صورت خطرناک‌تری هم مورد سو استفاده قرار بگیرد، به گونه‌ای که هکر و یا مجرمان سایبری، بتوانند کنترل کامل سیستم قربانی را بدست بگیرند.

البته باید به این مورد اشاره کنیم که برای استفاده از این باگ، هکر بایستی توانایی دانلود و اجرای کد مخرب را داشته باشد. بنابراین از این ترفند برای نفوذ استفاده نمی‌شود، بلکه بعد از نفوذ کاربرد دارد. بنابراین این باگ تنها به‌عنوان حمله‌ی فاز دوم در آلودگی به بدافزار استفاده می‌شود و توانایی‌هایی همچون افزایش دسترسی مجرم یا هکر، غیرفعال‌کردن آنتی‌ویروس یا ازکارانداختن کامل سیستم را برای هکر به ارمغان می‌آورد.

درحال‌حاضر، اکثر باگ‌هایی که RACK911 Labs در آنتی‌ویروس‌ها کشف کرده، پچ امنیتی پیدا کرده‌اند اما اصلا بعید نیست که در آینده هم شاهد چنین نمونه‌هایی در سیستم‌های کاربران باشیم.