Os pesquisadores de segurança da enSilo chegaram a algumas conclusões chocantes em termos dos métodos de engate e injeção empregados por vários fornecedores. A pesquisa deles começou em 2015 quando notaram um problema de injeção no AVG. Mais tarde, eles encontraram problemas semelhantes nos produtos McAfee e Kaspersky.
Quanto mais longe pesquisa fui, mais problemáticos os resultados estavam ficando. O resultado final é que seis vulnerabilidades foram expostas na forma como alguns grandes fornecedores lidam com a técnica de captura de código. Essas vulnerabilidades tornam o software sujeito a malware e, eventualmente, à exploração do dispositivo visado.
Primeiro, O que é o Code Hooking?
Ganhar é uma técnica usada por software, como produtos que fazem virtualização, sandbox e monitoramento de desempenho, monitorar e / ou alterar o comportamento das funções do sistema operacional para operar de forma eficaz.
A captura de código é muito crítica para o estabelecimento de produtos de segurança e software antivírus.
É particularmente crítico para produtos de segurança. Os programas antivírus normalmente empregam interceptação para permitir o monitoramento de atividades maliciosas em um sistema. A ferramenta anti-exploração média monitora as funções de alocação de memória para detectar a exploração da vulnerabilidade. Um bug de segurança na função de interceptação torna o sistema vulnerável a compromissos.
relacionado: Produtos da Symantec culpado de carga de múltiplas falhas graves
Essa vulnerabilidade dá ao invasor uma maneira de contornar o sistema operacional e as mitigações de exploração de terceiros, Especialistas em enSilo explicam. Graças a isto, o invasor pode facilmente aproveitar a falha que, de outra forma, seria muito mais difícil, e explorá-lo com sucesso. A pior dessas vulnerabilidades permitiria que o invasor permanecesse na máquina da vítima e não fosse detectado. Ele também seria capaz de injetar código em qualquer processo do sistema.
Quais produtos antivírus e fornecedores de software estão expostos a vulnerabilidades de captura de código?
- Motor de engate da Microsoft, Desvios. De Microsoft.com: “Em lançamento comercial há mais de 10 anos, Desvios é licenciado por over 100 ISVs [fornecedores independentes de software] e usado em quase todas as equipes de produtos da Microsoft.”
- AVG
- Kaspersky
- McAfee
- Symantec
- Um grande fornecedor de antivírus
- BitDefender
- Citrix XenDesktop
- WebRoot
- AVAST
- Emsisoft
- Vera
Esperavelmente, A Microsoft é o mecanismo de gancho mais popular do mundo, usado por mais de 100 ISVs. Isso significa que milhões de usuários podem ser afetados. Na maioria dos casos, corrigindo este problema exigirá a recompilação de cada produto individualmente, o que torna a correção extremamente difícil.
A equipe enSilo notificou todos os fornecedores mencionados acima no passado 8 meses. É crucial observar que as empresas que executam o software afetado devem obter patches diretamente dos fornecedores, se disponível. Se os patches ainda não estiverem disponíveis, a empresa deve exigi-los imediatamente.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: