Tweet

0

800 potentiële lekken in virusscanners

Beveiligingssoftware is uit te buiten

Antivirusproducten worden sinds 2007 al door het SANS Institute - een organisatie die beveiligingslekken bijhoudt - gezien als aanvalsrisico in computernetwerken. Hoe onveilig de scanners precies zijn, probeert het Duitse 'n.runs' nu te duiden. Dit bedrijf kondigde gisteren aan 800 potentiële lekken in antivirusproducten gevonden te hebben.

Deze zwaktes zijn ontdekt met een techniek die n.runs aanduidt als parsing. Daarbij wordt geen uitleg gegeven wat het precies inhoudt. Maar de uitwerking lijkt het meest op de output van fuzzers, applicaties die op zoek gaan naar buffer overflows in software zodat de gebruiker kan testen of de overflows uit te buiten zijn.

Kanttekeningen
Ondanks het hoge aantal mogelijke lekken zijn er direct al kanttekeningen bij het onderzoek te plaatsen. Allereerst verkoopt n.runs zijn eigen oplossing, die dit probleem klaarblijkelijk niet heeft (resultaten staan niet in de lijst). Daarnaast staat aanwezigheid van een uitbuitbare zwakte niet gelijk aan een uitbuitbare aanval.

Het bedrijf noemt zelf dan ook DoS-aanvallen (denial of service) als belangrijkste probleem dat veroorzaakt kan worden, en het op afstand uitvoeren van code als secundair probleem.

Het enige voorbeeld van een voorval waarin een virusscanner is uitgebuit stamt van een Blackhat-presentatie waar de hacker claimt een DoS-aanval ingezet te hebben door de scan van een antivirusproduct op een mailserver uit te buiten.

De 800 zwaktes onderschrijven daarmee het bestaande argument van SANS dat virusscanners uit te buiten zijn. Maar de omvang van het probleem is vooralsnog onduidelijk.

bron: ZDNet