Antywirusy z luką mogą pozwolić na włamanie do systemu?

1 sierpnia 2016, 13:11
Fot. csa.az

W sierpniu na amerykańskiej konferencji Black Hat USA 2016, pojawi się wiele ciekawych oraz pouczających wystąpień specjalistów ds. cyberbezpieczeństwa. Na jednym z takich wystąpień, współzałożyciele firmy enSilo przedstawią prezentacje na której pokażą, jak jeden z elementów popularnych atnywirusów może stać się poważnym problemem cyberbezpieczeństwa.

Badający odkrycie luki w mechanizmie hook, przechwytującym komunikaty w systemach komputerowych, na samym początku potraktowali jako jednorazowy przypadek. Jednak w wyniku poszerzenia ilości badanych udało im się określić, że większość programów antywirusowych wyposażonych w takie mechanizmy monitorujące zachowanie w środowisku sieciowym. Hook, czy nazywany przez czasami hooking, który monitorując przepływ zapytań sieciowych oraz komputerowych posiada pewną bardzo dużą wadę. Problem polega na tym, że oprócz mechanizmu przechwytującego ruchu wraz z antywirusem występuję narzędzie do wstrzykiwania kodu podobnego do tego wykorzystywanego przez wirusy. Korzystając z takich zabiegów, oprogramowanie jest wstanie wyszukać podatności i jednocześnie określić jakie elementy systemu mogą być zagrożone atakiem.

Badanie ekspertów z enSilo polegało na używaniu iniekcji, które przez silniki wykonujące metodykę hook były wykrywane jako pozytywne działanie samego oprogramowania antywirusowego. Tak oznaczone złośliwe oprogramowanie mogło by być później potraktowane przez osoby zajmujące się bezpieczeństwem i śledzącymi ruch sieciowy jako tzw. fałszywy pozytyw. Co w późniejszej fazie i przy wystarczająco dużej ilości takich ataków podszywających się pod działania antywirusa może prowadzić do poważnych konsekwencji. Według ekspertów nawet do otworzenia ścieżki wirusom do swobodnego przejęcia praw administratora. Wśród programów wykorzystujących takie rozwiązania są m.in. Microsoft Detours, EasyHook, AVG, Kaspersky, McAfee, Symantec, Trend Micro, Bitdefender, Webroot, AVAST oraz Vera.

– Jeden z produktów obecnych na rynku był szczególnie podatny na tego typu ataki. Połączyliśmy wszystkie odkryte przez nas wady i wykorzystaliśmy je w maksymalnym stopniu. Tak „zepsuty” system zabezpieczeń był kompletnie nieodporny na ataki i pozwalał na przejęcia systemu ponieważ antywirus nie widział nic złego w kolejnych iniekcjach złośliwego kodu – powiedział Udi Yavo jeden ze współzałożycieli enSilo.

Czytaj też: Haker sprawi, że twój bank się do ciebie nie dodzwoni

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 2
KP
wtorek, 2 sierpnia 2016, 11:41

Pierwszy akapit kompletnie pomieszany, pełen błędów gramatycznych, składniowych i wychodzi bełkot - czy ktoś to czyta przed publikacją? Proszę Państwa - trzymajcie pewien poziom, język polski to jednak podstawa

abcd
wtorek, 2 sierpnia 2016, 11:32

Ale bzdury autor pisze. Nie ma pojęcia o czym i wychodzi z tego masło maślane.

Tweets CyberDefence24