เผยช่องโหว่ที่สามารถลบไฟล์ใดก็ได้ผ่านโปรแกรมแอนติไวรัสส่วนใหญ่

มีการเปิดเผยช่องโหว่ที่สามารถนำกลไกการกักกันไฟล์อันตรายของโปรแกรมแอนติไวรัสมาใช้งานในทางกลับกัน เพื่อทำให้สามารถลบไฟล์ใดก็ได้ตามต้องการ ช่องโหว่นี้ถูกค้นพบโดยทีมความปลอดภัยของผู้ให้บริการโฮสติ้ง RACK911 ในช่วงฤดูใบไม้ร่วงปี 2018 และขณะนี้ผู้พัฒนาแอนติไวรัสรายใหญ่ได้ออกแพตช์แก้ไขแล้ว

โดยพื้นฐานแล้ว ช่องโหว่นี้อาศัยข้อเท็จจริงที่ว่าฟังก์ชันเฝ้าระวังแบบเรียลไทม์ของโปรแกรมแอนติไวรัสมีช่วงหน่วงเล็กน้อยระหว่างการตรวจพบไฟล์อันตรายกับการนำไฟล์นั้นไปกักกัน และยังอาศัยฟีเจอร์การเชื่อมโยงไฟล์/ไดเรกทอรีในระบบไฟล์ (บน Linux หรือ macOS ใช้ Symbolic link ส่วนบน Windows ใช้ Directory Junction) กล่าวอย่างง่ายคือ เตรียมไฟล์ที่ตั้งใจให้ถูกฟังก์ชันเฝ้าระวังแบบเรียลไทม์ของแอนติไวรัสตรวจจับได้ก่อน (เช่น ไฟล์ทดสอบ EICAR) จากนั้นเมื่อแอนติไวรัสตรวจพบ ก็รีบลบไฟล์นั้นออกก่อนจะถูกกักกัน แล้วแอบแทนที่ด้วย symbolic link ไปยังไฟล์ที่ต้องการลบ เท่านี้แอนติไวรัสก็จะย้ายไฟล์ปกติไปยังพื้นที่กักกันแทน หากไฟล์ที่ถูกกักกันเป็นไฟล์สำคัญของระบบปฏิบัติการ ก็จะกลายเป็นการโจมตีแบบปฏิเสธการให้บริการต่อระบบ และหากเป็นไฟล์ที่จำเป็นต่อการทำงานของแอนติไวรัสเอง ก็เท่ากับทำให้ระบบความปลอดภัยใช้งานไม่ได้ แม้เทคนิคนี้จะต้องอาศัยจังหวะเวลา แต่ดูเหมือนว่าจะสำเร็จได้เพียงพอแม้ใช้การวนซ้ำง่ายๆ ด้วยแบตช์ไฟล์

วิดีโอพิสูจน์แนวคิดสำหรับ Windows :

https://www.youtube.com/watch?v=MblUiyazdAc

วิดีโอพิสูจน์แนวคิดสำหรับ macOS :

https://www.youtube.com/watch?v=iVC_QJLOVt8