Antywirus – Ochrona, czy potencjalny punkt zapalny?

Antywirus, jak sama nazwa wskazuje, ma chronić nasz komputer przed działaniem szkodliwego oprogramowania. Ma nie pozwalać, by wirusy, robaki, spyware, rootkity etc. etc. panoszyły się po naszym komputerze, wykradały prywatne dane, szyfrowały je lub niszczyły. Jak jednak powszechnie wiadomo żaden antywirus nie ma pełnej skuteczności. Zawsze znajdzie się jakiś 0day, którego nasz strażnik nie ma w bazach, albo jego osłona behawioralna nie uznaje za szkodliwego. Wtedy nasz system zostaje zainfekowany. Malware będzie wykorzystywał luki w oprogramowaniu, szukał możliwości wykorzystania błędów programisty, choćby zwykłego przepełnienia do wykonania kodu na jak najwyższym poziomie (Ring 0/1). Nowoczesne technologie używane w branży bezpieczeństwa komputerowego mają za zadanie jednak do tego nie dopuścić. Niezaufane programy są emulowane w sandboxach, często bardzo restrykcyjnych.

Ale każde oprogramowanie ma luki. Może to być system operacyjny, przeglądarka, wtyczka, jakiś firmware, ale też, o zgrozo, antywirus. Z punktu atakującego jest to genialny wariant – antywirus często uruchamia się w zasadzie przed systemem, działa w obrębie kernela, ma dostęp do najważniejszych części systemu operacyjnego. Więc czemu by właśnie jego nie wyexploitować? Takie rzeczy dzieją się bardzo często. Błędy znajdowane są stosunkowo często, nawet krytyczne. Najpopularniejszym sposobem na znajdywanie niedopatrzeń programisty w tak dużych programach jest fuzzing. Zwyczajna inżynieria wsteczna prowadzona za pomocą np. Idy zajęła by mnóstwo czasu. Tak można to nieco przyspieszyć.

Tu przedstawie wam przykład krytycznego błędu znalezionego w antywirusie Avast w 2010 roku (zdalne wykonywanie kodu (sic!)):
– CVE-2010-3126 – cytując z strony cvedetails:

Untrusted search path vulnerability in avast! Free Antivirus version 5.0.594 and earlier allows local users, and possibly remote attackers, to execute arbitrary code and conduct DLL hijacking attacks via a Trojan horse mfc90loc.dll that is located in the same folder as an avast license (.avastlic) file.

(tłumaczenie)

Luka w niezaufanej ścieżce wyszukiwania w oprogramowaniu avast! Free Antivirus wersja 5.0.594 (i wcześniejszych) pozwala lokalnym użytkownikom lub atakującym zdalnie wykonać kod czy wykonać atak typu DLL hijacking za pomocą konia trojańskiego mfc90loc.dll który znajduje się w tym samym folderze co plik licencyjny avasta (.avastlic).

Podobnych dziur jest wiele, chociażby w Kasperskym (CVE-2014-5654), Bitdefenderze (CVE-2014-5350), Nortonie (CVE-2010-0107)…

I teraz – jak się przed tym chronić? Dbać o aktualne oprogramowanie, korzystać z dodatkowych środków ochrony takich jak sandboxie, MBAE, EMET itd. Ale czy zrezygnować z korzystania z antywirusa?

Moja odpowiedź brzmi – nie wiem. To decyzja, którą powinno podjąć się samemu. Ataki takie, jako że łatane są naprawdę szybko, a programy bug bounty oferują naprawdę wysokie wynagrodzenia za przedstawienie takich a nie innych błędów, skierowane będą raczej w duże firmy, przedsiębiorstwa gdzie możliwość zarobku atakującego przewyższająca wypłaty z innych źródeł. Pozostają też miejsca takie jak sieć cebulowa (TOR), gdzie wirtualny czarny rynek kwitnie w najlepsze.

To by było na tyle z mojej strony, zapraszam do dyskusji Beer

ŹRÓDŁA:
Attacking the Antivirus – Black Hat
http://www.cvedetails.com/

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s