Theo các nhà nghiên cứu bảo mật từ Rack911 Labs, hacker có thể lợi dụng lỗi này để xóa các tập tin đang được phần mềm diệt virus hoặc hệ điều hành sử dụng. Từ đó, phần mềm không thể cảnh báo bảo mật mà sẽ tạo kẽ hở để mã độc xâm nhập. Thậm chí, nó có thể khiến hệ điều hành ngừng hoạt động.

Các nhà bảo mật thử nghiệm xóa tập tin phần mềm diệt virus McAfee chạy trên Windows. Video: Rack911 Labs.

Liên kết tượng trưng (Symbolic link hay còn gọi là Symlink) cho phép tạo lối tắt từ thư mục này đến thư mục khác. Với lỗi hổng "Symlink Races", hacker có thể "nối" tập tin độc hại với tập tin hợp pháp, sau đó thực hiện các hành động phá hoại trên tập hợp pháp.

Theo Rack911 Labs, các phần mềm diệt virus dễ bị tấn công hơn bằng "Symlink Races" do cách thức hoạt động của nó. "Thông thường khi vận hành, phần mềm diệt virus sẽ quét tập tin và tự động xoá nếu phát hiện tập tin bị nhiễm độc", Rack911 Labs giải thích. "Nhưng trong quá trình quét, lỗ hổng thay thế ứng dụng độc hại bằng một liên kết tượng trưng nối với tập tin hợp pháp. Kết quả là, phần mềm diệt virus sẽ bỏ qua hoặc xóa tập tin hợp pháp, khiến hệ thống gặp lỗi".

Trong một số trường hợp, "Symlink Races" liên kết tập tin độc hại với các thành phần hệ thống có đặc quyền cao hơn, dẫn đến những cuộc tấn công Nâng cao độc quyền (EoP).

Danh sách các phần mềm diệt virus gặp lỗi và đã vá lỗ hổng. Ảnh: Rack911 Labs.

Rack911 Labs cho biết đã nghiên cứu lỗ hổng "Symlink Races" từ năm 2018 và phát hiện 28 sản phẩm diệt virus phổ biến dính lỗi từ đó đến nay. Tuy nhiên, các nhà cung cấp đã ra bản vá.

"Một số thừa nhận vấn đề và sửa lỗi, số khác âm thầm tung bản vá, chỉ còn một ít nhà cung cấp khác chưa khắc phục", đại diện Rack911 Labs chia sẻ. Công ty này cũng không công bố danh tính những sản phẩm chưa khắc phục lỗ hổng.

Theo VnExpress

https://vnexpress.net/nhieu-phan-mem-diet-virus-pho-bien-dinh-lo-hong-bao-mat-4091010.html