I ricercatori di sicurezza a enSilo sono giunti ad alcune conclusioni scioccanti in termini di metodi di aggancio e di iniezione impiegate dai vari fornitori. La loro ricerca è iniziata nel 2015 quando hanno notato un problema iniettabile in AVG. Più tardi, hanno trovato problemi simili in McAfee e Kaspersky prodotti.
Quanto più il ricerca andato, il più fastidioso i risultati sono stati sempre. La linea di fondo è che sei vulnerabilità sono state esposte nel modo in cui alcuni molto grandi fornitori di gestire la tecnica codice di aggancio. Queste vulnerabilità rendono il software incline al malware ed eventualmente l'exploit del dispositivo di destinazione.
Primo, Qual è il codice Hooking?
Aggancio è una tecnica utilizzata dal software, come i prodotti che fanno la virtualizzazione, monitoraggio sandboxing e prestazioni, per controllare e / o modificare il comportamento delle funzioni del sistema operativo per poter operare efficacemente.
Codice di aggancio è molto critico per la creazione di prodotti per la sicurezza e software antivirus.
E 'particolarmente critico per i prodotti di sicurezza. programmi AV tipicamente impiegano aggancio per consentire di monitorare per attività dannose sul sistema. Lo strumento media anti-sfruttamento controlla le funzioni di allocazione di memoria per rilevare lo sfruttamento della vulnerabilità. Un bug di sicurezza nella funzione di aggancio rende il sistema vulnerabile a compromessi.
Correlata: Symantec Prodotti colpevole di carica di molteplici difetti gravi
Tale vulnerabilità dà all'attaccante un modo per aggirare il sistema operativo e di terze parti sfruttano mitigazioni, Esperti spiegano enSilo. Grazie a questo, l'attaccante può facilmente sfruttare la falla che altrimenti sarebbe molto più difficile, e sfruttare con successo. La peggiore di queste vulnerabilità potrebbe consentire al malintenzionato di sopportare sulla macchina della vittima e rimanere inosservato. Si sarebbe anche in grado di iniettare codice in qualsiasi processo di sistema.
Quali prodotti e fornitori di software Anti-Virus sono esposti a codice Hooking vulnerabilità?
- il motore di aggancio di Microsoft, Detours. da Microsoft.com: “Sotto rilascio commerciale per oltre 10 anni, Detours è concesso in licenza di oltre 100 ISV [fornitori di software indipendenti] e utilizzato all'interno di quasi tutti i team di prodotto di Microsoft.”
- AVG
- Kaspersky
- McAfee
- Symantec
- Un importante fornitore AV
- BitDefender
- Citrix XenDesktop
- WebRoot
- AVAST
- Emsisoft
- Vera
Expectedly, Microsoft è il motore di aggancio più popolare al mondo, che è utilizzato da più di 100 ISV. Ciò significa che milioni di utenti potrebbero essere influenzati. Nella maggior parte dei casi, risoluzione di questo problema richiederà ricompilazione di ogni singolo prodotto che rende estremamente difficile patch.
Il team è stato enSilo notificando tutti i venditori di cui sopra tutto il passato 8 mesi. E 'fondamentale notare che le aziende che utilizzano software interessato dovrebbero ottenere patch direttamente dai fornitori, se disponibile. Se le patch non sono ancora disponibili, la società dovrebbe chiedere immediatamente.