米サイバーセキュリティ会社RACK911 Labsは20日(米国時間)、ウイルス対策ソフトの挙動とディレクトリ操作を併用した脆弱性について公表した。

今回公表されたのは、WindowsのディレクトリジャンクションやmacOS/Linuxのシンボリックリンクといったディレクトリ間やファイル間を結ぶ機能を悪用し、ウイルス対策ソフトが自身やOSを破壊するよう仕向けるもの。同社では2018年の秋頃からソフトウェアベンダーに通知を開始しており、現在はいくつかのソフトを除き修正が施されているが、ほぼすべてのソフトで再現可能だったとする。

ウイルス対策ソフトはその特性上、特権で実行されている。脅威を含むファイルをスキャンすると、そのファイルを削除や隔離するが、操作の間にわずかなタイムラグがある場合がほとんどだという。悪意ある攻撃者は、ローカルユーザーやマルウェアを通じてこのラグと特権を利用し、ディレクトリジャンクションやシンボリックリンクを通じて競合状態を作り出し、ソフトの特権ファイル操作によって自身やOSを破壊できてしまう。

攻撃例では、意図的に脅威あるファイルを検出させ、削除されるまでの間に対象のディレクトリを攻撃対象のものと置き換えることで、ソフトが自己破壊を進めるよう仕組んでいる。攻撃に利用するソフトに応じて競合状態を作り出すタイミングを見極める必要があるものの、ディレクトリジャンクションやシンボリックリンクの操作には特権が必要なく、攻撃自体は簡単なコマンドで実行可能だという。ここでは、ウイルス対策ソフトが自己破壊やディレクトリ削除を行なうものが例として挙げられているが、特定のディレクトリやファイルを標的とした攻撃に改造することで、特権昇格といった脆弱性に発展する可能性もあるとしている。

同社では、場合によってはウイルス対策ソフトがいかに簡単に破壊的なツールになるか知ってほしいとするほか、そのほかのソフトでも同様の手法が応用できる可能性があるため、注意を促している。