Nový typ útoku údajně umožňuje vyřadit antiviry

17. 5. 2010

Sdílet

Ve Windows byl objeven podle některých názorů závažný bezpečnostní problém, který útočníkům potenciálně umožňuje obejít ochranu poskytovanou antivirovými nástroji a vyřadit je z činnosti.

Celou kauzu odstartoval výzkumníci společnosti Matousec. Uvedli, že ovladače v jádru Windows, respektive jejich rozhraní, obsahují vážnou zranitelnost. Standardně bezpečnostní software využívá tyto ovladače k tomu, aby Windows při spuštění kódu ještě „zavolaly“ i bezpečnostní software, který pak spouštěný kód zkontroluje ještě před jeho vykonáním. Nicméně do tohoto procesu může malware údajně zasáhnout, „přepnout“ ho a spustit se i bez kontroly – příslušná technika byla nazvána argument-switch.

Úspěšný útok sice vyžaduje splnění poměrně specifických podmínek, ale problém je potenciálně velmi vážný, protože se týká přímo návrhu systému, nikoliv nějaké konkrétní zranitelnosti. Ohrožen je především systém Windows XP, Matousec ale uvádí, že zranitelné jsou i Windows Vista SP1. Tímto způsobem se údajně podařilo obejít např. bezpečnostní programy firem Symantec, McAfee, Trend Micro, BitDefender a Sophos.

Jednotliví dodavatelé hodnotí celou záležitost různě, někteří souhlasí s výzkumníky z Matousec, že problém je zásadní, jiní se domnívají, že úspěšný útok vyžaduje splnění příliš mnoha specifických okolností a těžko tímto způsobem připravit nějaký univerzálnější exploit. Například společnosti TrendMicro a Kaspersky Lab se vyjádřily v tom smyslu, že tento typ útoku obchází pouze určité funkce jejich produktů (kernel hook), nicméně dále pracují i jiné funkce schopné na úrovni jádra eliminovat škodlivé aktivity (např. sandboxy).

ICTS24

Proti tomuto typu útoku jsou (zřejmě a téměř) imunní 64bitová Windows, protože navíc obsahují ochranný mechanismus PatchGuard. Nicméně v celé záležitosti nepanuje mezi experty shoda: jaký typ malwaru dokáže takto obejít antivirus? (Např. asi nikoliv malware, který už je v definicích.) A jedná se o reálný problém, nebo mají útočníci k dispozici jednodušší techniky? Kompromisní pohled tvrdí, že ačkoliv tento typ útoku nebude sám o sobě příliš praktický, jde prostě o další bezpečnostní trhlinu, kterou lze zkoušet zneužít a připravit funkční exploit v kombinaci s jinými chybami.