Компании RACK911 Labs удалось установить простой метод использования так называемых символических связей папок (directory junctions) в Windows и символических ссылок в macOS и Linux для удаления собственных файлов антивируса.
Экспертам RACK911 Labs удалось успешно провести атаку в системах Windows, macOS и Linux. Они смогли удалить важные файлы антивирусного ПО, оставив целевой компьютер без защиты. Более того, им даже удалось удалить некоторые системные файлы, что привело к полной потере работоспособности операционной системы.
Специалисты лаборатории считают задачу эксплуатации данной уязвимости тривиальной. Основная трудность заключается в том, чтобы выяснить точное время подмены символической ссылки. Расхождение даже в 1 секунду приведет к тому, что эксплойт уже не сработает.
Примечание: Указанные антивирусные продукты были непосредственно протестированы RACK911 Labs, и лаборатория отправляла отчеты об уязвимостях по каждому из них, которые были подтверждены вендорами.
