تکنیک جدیدی در اجرای حملات سایبری کشف شده که سازوکار شناسایی بدافزار در محصولات چندین شرکت امنیتی را موردسوءاستفاده قرار میدهد.
گفته میشود 28 محصول ضدویروس ساخت شرکتهای معروفی همچون مکآفی، کسپرسکی، سیمانتک، ایست، آویرا و بسیاری دیگر به باگ مورد سوءاستفاده توسط این تکنیک که اکنون جزییات آن نیز بهصورت عمومی افشا شده آسیبپذیر هستند.
اگر چه بهرهجویی (Exploit) از این باگ بهصورت از راه دور (Remotely) قابل انجام نیست اما سوءاستفاده از آن میتواند بدافزار (یا مهاجم) را قادر به حذف فایلهایی کند که در حالت عادی فاقد مجوز انجام آن است.
بهرهجویی موفق از آن مستلزم اجرای کد یا اسکریپتی بر روی سیستم قربانی است که وظیفه آن دستدرازی به فایلهای موسوم به Symbolic Link است. بدینترتیب عملیاتی حذفی که توسط یک پروسه با سطح دسترسی بالا اجرا شده بهنحوی تغییر داده میشود که بجای حذف فایل مورد نظر پروسه، فایل دلخواه مهاجم حذف میگردد.
در این میان محصولات زیر نیز از آسیبپذیری مذکور تأثیر میپذیرند:
- تمامی نسخ Endpoint Security (ENS) for Mac
- نسخ 10r.5r.x،و10r.6r.x و 10r.7r.x نرمافزار ENS for Windows
- تمامی نسخ VirusScan Enterprise (VSE) for Linux
- تمامی نسخ VSE for Windows
خوشبختانه، مکآفی، 5 اردیبهشت ماه این آسیبپذیری را در بهروزرسانیهای DAT 4053 (برای ENS for Windows) و DAT 9601 (برای ENS Mac،وVSE for Windows و VSE for Linux) ترمیم و اصلاح کرد.
مقاله فنی مکآفی در خصوص آسیبپذیری مذکور در لینک زیر قابل دریافت و مطالعه است:
https://kc.mcafee.com/corporate/index?page=content&id=SB10316