Strona główna
Antywirusy z luką mogą pozwolić na włamanie do systemu?
W sierpniu na amerykańskiej konferencji Black Hat USA 2016, pojawi się wiele ciekawych oraz pouczających wystąpień specjalistów ds. cyberbezpieczeństwa. Na jednym z takich wystąpień, współzałożyciele firmy enSilo przedstawią prezentacje na której pokażą, jak jeden z elementów popularnych atnywirusów może stać się poważnym problemem cyberbezpieczeństwa.
Badający odkrycie luki w mechanizmie hook, przechwytującym komunikaty w systemach komputerowych, na samym początku potraktowali jako jednorazowy przypadek. Jednak w wyniku poszerzenia ilości badanych udało im się określić, że większość programów antywirusowych wyposażonych w takie mechanizmy monitorujące zachowanie w środowisku sieciowym. Hook, czy nazywany przez czasami hooking, który monitorując przepływ zapytań sieciowych oraz komputerowych posiada pewną bardzo dużą wadę. Problem polega na tym, że oprócz mechanizmu przechwytującego ruchu wraz z antywirusem występuję narzędzie do wstrzykiwania kodu podobnego do tego wykorzystywanego przez wirusy. Korzystając z takich zabiegów, oprogramowanie jest wstanie wyszukać podatności i jednocześnie określić jakie elementy systemu mogą być zagrożone atakiem.
Badanie ekspertów z enSilo polegało na używaniu iniekcji, które przez silniki wykonujące metodykę hook były wykrywane jako pozytywne działanie samego oprogramowania antywirusowego. Tak oznaczone złośliwe oprogramowanie mogło by być później potraktowane przez osoby zajmujące się bezpieczeństwem i śledzącymi ruch sieciowy jako tzw. fałszywy pozytyw. Co w późniejszej fazie i przy wystarczająco dużej ilości takich ataków podszywających się pod działania antywirusa może prowadzić do poważnych konsekwencji. Według ekspertów nawet do otworzenia ścieżki wirusom do swobodnego przejęcia praw administratora. Wśród programów wykorzystujących takie rozwiązania są m.in. Microsoft Detours, EasyHook, AVG, Kaspersky, McAfee, Symantec, Trend Micro, Bitdefender, Webroot, AVAST oraz Vera.
– Jeden z produktów obecnych na rynku był szczególnie podatny na tego typu ataki. Połączyliśmy wszystkie odkryte przez nas wady i wykorzystaliśmy je w maksymalnym stopniu. Tak „zepsuty” system zabezpieczeń był kompletnie nieodporny na ataki i pozwalał na przejęcia systemu ponieważ antywirus nie widział nic złego w kolejnych iniekcjach złośliwego kodu – powiedział Udi Yavo jeden ze współzałożycieli enSilo.
Czytaj też: Haker sprawi, że twój bank się do ciebie nie dodzwoni
Haertle: Każdego da się zhakować
Materiał sponsorowany