Lek in vrijwel alle antivirussoftware
Groot risico
10 mei 2010 | Jan Custers
Onderzoekers hebben een zwakke plek ontdekt in zowat alle antivirusprogramma’s voor Windows.
De specialisten van Matousec.com trekken aan de alarmbel. Op hun website wordt uitgebreid beschreven hoe ze antivirusprogramma’s van onder meer McAfee, Trend Micro, AVG en BitDefender om de tuin kunnen leiden.
Hooks
De exploit buit enkele slordigheden van de antivirusmakers uit. Aangezien de architectuur van Windows niet duidelijk is en ze hun beveiliging niet kunnen baseren op het analyseren van afwijkingen hierop, maken ze vaak gebruik van zogenaamde hooks.
Dat zijn aanpassingen in de kernelcode en datastructuren waarmee de ontwikkelaars hun programma’s alsnog diep in een systeem kunnen nestelen, en zo gevaarlijke aanvallen kunnen detecteren.
Slecht ontworpen
Het probleem is echter dat de hooks vaak slecht geïmplementeerd zijn en nieuwe kwetsbaarheden creëren. Dankzij zo’n zwakke plek kunnen hackers de beveiligingscontrole van antivirussoftware in de kernel omzeilen.
Door op het juiste moment code te injecteren, als de beveiligingscheck achter de rug is, kan kwaadaardige code worden uitgevoerd op een manier die niet te detecteren is door de antivirusprogramma’s.
Makkelijker bij multicoreprocessors
Elk programma dat gebruikmaakt van hooks in de SSDT (system service descriptor table) is hierdoor kwetsbaar. Computers met een multicoreprocessor zouden zelfs makkelijker te injecteren zijn vanwege de wachttijden voor rekenkernen bij simultane rekenopdrachten.
Hoewel deze ontdekking onrustwekkend is, blijft de bruikbaarheid voor hackers voorlopig beperkt. De grote hoeveelheid aan code die nodig is, maakt deze methode onbruikbaar voor zogenaamde shellcode-gebaseerde aanvallen.
Een andere voorwaarde is dat de aanvaller al de mogelijkheid heeft om code op de beoogde computer uit te voeren. Die kan hij evenwel krijgen door gebruik te maken van een van de vele exploits in bijvoorbeeld Adobe Reader of Java’s Virtual Machine.
Herschrijven is nodig
In theorie kunnen kwaadwillenden met deze methode malware installeren op je systeem en je beveiligingsprogramma’s verwijderen. Bovendien werkt het zowel onder administrator- als gebruikersrechten. Ontwikkelaars zullen hun antivirussoftware dus moeten herschrijven willen ze hun klanten relatieve zekerheid kunnen bieden.
Update 11/05:
In tegenstelling tot wat Matousec wil doen uitschijnen is deze methode niet nieuw. Volgens beveiligingsspecialist Wilders Security is de aanval inderdaad mogelijk, maar ontzettend lastig om uit te voeren. Dat meldt de techblog tweakers.net. De theorie achter de aanval dateert uit 1996 en een Russissche onderzoeker publiceerde in 2003 een proof-of-concept.
bron: ZDNet
Lees verder op ZDNet »
Hoe antivirus gratis kan zijn
Ad-Aware krijgt gratis antivirus
Antivirus laat vaak steken vallen
Valse antivirussen zijn een goudmijn
Bitdefender waarschuwt voor Bytedefender
'Gratis antivirus is winstgevend'
McAfee maakt XP-computers ziek
Antivirus voor Facebook is vals
Avast Free Antivirus 5.0
Minder besmette computers in Nederland
» Bèta Windows 8 mist startknop
news
Uit gelekte screenshots blijkt dat Microsoft de startknop die al aanwezig is sinds Windows 95 uit de binnenkort te verschijnen bèta van Windows 8 heeft gehaald.
» 'iPad 3 wordt in maart gelanceerd'
news
De kans is groot dat de volgende iPad in de eerste week van maart al wordt voorgesteld.
» Op Facebook verlies je al jouw rechten
news
Wie zichzelf als particulier, bedrijf of zelfstandige promoot via Facebook, stuit op zeer strikte voorwaarden. De site bezit alles en mag je voor het minste buitengooien.
Review: Never Dead
Game
"Schiet me maar aan flarden, ik raap me wel terug bijeen!", Huh? Innovatie is leuk, maar een hoofdrolspeler die zijn eigen lichaam verzamelt, is nieuw. Brengt Never Dead nog meer nieuwigheden of blijft het hier bij?
