Nowa metoda ataku omija zabezpieczenia antywirusowe

15-05-2010, 11:23

Specjaliści z matousec.com zaprezentowali metodę umożliwiającą obejście każdego przetestowanego przez nich oprogramowania antywirusowego. Lista 34 podatnych na atak aplikacji obejmuje rozwiązania wszystkich renomowanych producentów zabezpieczeń, takich jak Symantec, McAfee, Kaspersky Lab, Trend Micro, Sophos itd. Co ciekawe, antywirus giganta z Redmond - Microsoft Security Essentials - okazał się odporny na wykorzystanie odkrytego przez badaczy błędu.

Jak możemy dowiedzieć się z artykułu w The Register oraz związanego z nim tematycznie referatu naukowego w serwisie matousec.com, zastosowana przez ekspertów metoda polega na ataku przez podmianę argumentów (ang. argument switch attack), nazwanym KHOBE. Jest to akronim od Kernel Hook Bypassing Engine, co oznacza mechanizm obejścia z zastosowaniem punktów zaczepienia w jądrze. Metodę przetestowano w systemach Windows XP SP3 oraz Windows Vista SP1 (wersja 32-bit).

Oprogramowanie zabezpieczające z reguły zahacza się wewnątrz systemu operacyjnego Windows poprzez modyfikację System Service Descriptor Table (SSDT). Wykorzystując ten fakt, można spowodować, że bezpośrednio po sprawdzeniu nieszkodliwego kodu antywirus umożliwi wykonanie kodu szkodliwego. Atak polega na dokonaniu podmiany argumentów w ściśle określonym czasie - po sprawdzeniu nieszkodliwego kodu, ale przed przekazaniem odpowiedzialności do systemu operacyjnego (jest to sytuacja znana jako wyścig).

Security Essentials, wydany w ubiegłym roku bezpłatny antywirus Microsoftu, nie korzysta z patchowania SSDT, dlatego rozwiązanie to nie jest podatne na atak opracowany przez specjalistów z matousec.com.

>> Czytaj także: Microsoft Security Essentials okiem konkurencji

W opinii Rika Fergusona, doradcy ds. bezpieczeństwa z firmy Trend Micro, branża zabezpieczeń będzie musiała wprowadzić do swoich produktów poprawki rozwiązujące omawiany problem. Jego zdaniem referat rzuca też światło na szersze i być może bardziej niepokojące zagadnienie. Chodzi o to, że w standardowej architekturze zabezpieczeń punktów końcowych mechanizmy ochronne działają w tym samym kontekście, co szkodliwe oprogramowanie, przed którym mają chronić - czytamy na blogu Fergusona.

To dlatego Microsoft odradza patchowanie SSDT i zaleca stosowanie specjalnego API do zagnieżdżania skanerów antywirusowych. Jest ono dostępne dla systemów Windows Vista oraz Windows 7, w przypadku wciąż popularnego Windows XP producenci aplikacji zabezpieczających będą musieli poszukać innego rozwiązania.

Warto w tym miejscu zauważyć, że metoda ataku zaprezentowana przez matousec.com nie jest wcale nowa. Jak podaje The H Security, już w 1996 roku problem opisali Matt Bishop oraz Michael Dilger, nadając mu nazwę TOCTTOU (ang. time-of-check-to-time-of-use). W 2003 roku na seclists.org wspominał o nim także Andrey Kolishak.

>> Czytaj także: Czy branża antywirusowa natrafiła na ścianę technologiczną?


Następny artykuł » zamknij

Sprzedawaj w sieci!

Źródło: The Register, matousec.com, The H Security, Trend Micro
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930