Beveiliging onderzoekers van enSilo heb met een aantal schokkende conclusies gekomen in termen van de haken en de injectie methoden die door verschillende leveranciers. Hun onderzoek is gestart in 2015 toen ze merkten een injectie probleem in AVG. Later, ze vonden soortgelijke problemen in McAfee- en Kaspersky-producten.
Hoe verder de onderzoek ging, hoe lastiger de resultaten werden. Het komt erop neer dat er zes kwetsbaarheden zijn blootgelegd op de manier waarop sommige behoorlijk grote leveranciers omgaan met de code hooking-techniek. Deze kwetsbaarheden maken de software vatbaar voor malware en uiteindelijk voor misbruik van het beoogde apparaat.
Eerste, Wat is code hooking??
Hooking is een techniek die door software wordt gebruikt, zoals producten die virtualisatie doen, sandboxing en prestatiebewaking, om het gedrag van functies van het besturingssysteem te controleren en/of te wijzigen om effectief te kunnen werken.
Code hooking is erg belangrijk voor het opzetten van beveiligingsproducten en antivirussoftware.
Het is met name van cruciaal belang voor beveiligingsproducten. AV-programma's maken meestal gebruik van hooking om te controleren op kwaadaardige activiteiten op een systeem. De gemiddelde anti-exploitatietool bewaakt functies voor geheugentoewijzing om misbruik van kwetsbaarheden te detecteren. Een beveiligingsbug in de hooking-functie maakt het systeem kwetsbaar voor compromissen.
Verwant: Symantec producten Schuldig van Charge van meerdere ernstige gebreken
Een dergelijke kwetsbaarheid geeft de aanvaller een manier om het besturingssysteem en de beperking van misbruik door derden te omzeilen, enSilo-experts leggen uit. Dankzij deze, de aanvaller kan gemakkelijk gebruik maken van de fout die anders veel moeilijker zou zijn, en exploiteer het met succes. De ergste van deze kwetsbaarheden zou de aanvaller in staat stellen om op de machine van het slachtoffer te blijven en onopgemerkt te blijven. Hij zou ook code in elk systeemproces kunnen injecteren.
Welke antivirusproducten en softwareleveranciers worden blootgesteld aan kwetsbaarheden in code hooking?
- De hooking-engine van Microsoft, omwegen. Van Microsoft.com: “Onder commerciële release voor over 10 jaar, Omwegen heeft een vergunning van meer dan 100 ISV's [onafhankelijke softwareleveranciers] en gebruikt binnen bijna elk productteam bij Microsoft.”
- AVG
- Kaspersky
- McAfee
- Symantec
- Een grote AV-verkoper
- BitDefender
- Citrix XenDesktop
- WebRoot
- AVAST
- Emsisoft
- Vera
Zoals verwacht, Microsoft is de meest populaire hooking-engine ter wereld die door meer dan 100 ISV's. Dit betekent dat miljoenen gebruikers kunnen worden getroffen. In de meeste gevallen, dit probleem oplossen zal elk product afzonderlijk opnieuw moeten worden gecompileerd, wat het patchen extreem moeilijk maakt.
Het enSilo-team heeft in het verleden alle bovengenoemde leveranciers op de hoogte gebracht 8 maanden. Het is van cruciaal belang op te merken dat bedrijven die getroffen software gebruiken, patches rechtstreeks van de leveranciers moeten krijgen, indien beschikbaar. Als er nog geen patches beschikbaar zijn, het bedrijf zou ze onmiddellijk moeten eisen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: