Nový útok obchádza ochrany všetkých Windows antivírusov
Bezpečnostní experti z projektu Matousec spoločnosti Different Internet Experience minulý týždeň publikovali správu o novom type útoku, ktorý umožňuje škodlivému kódu obchádzať real-time ochrany súčasných antivírusových produktov pre Windows.
Útok označovaný KHOBE obchádza relatívne jednoduchým princípom ochrany, ktoré antivírusy inštalujú do jadra Windows.
Podľa expertov je účinný na 32 aj 64-bitových verziách Windows XP, Vista aj 7.
Antivírusy vo Windows inštalujú do jadra vlastný kód realizujúci kontrolu, ktorý je spúšťaný pred vlastnými funkciami API jadra, napríklad otváraním a zatváraním súborov, zápisu do súborov a podobne.
Útok KHOBE volá funkcie systému s inštalovaným kontrolným kódom antivírusov s parametrami, ktoré kontroly antivírusu prepustia a akciu povolia, následne ale pred zavolaním skutočnej funkcie API jadra zamení škodlivý kód parametre volania. Útok je na súčasných viacjadrových procesoroch relatívne jednoducho realizovateľný, keďže ďalší thread škodlivého kódu, ktorý môže zmeniť argumenty, môže bežať paralelne s threadom uskutočňujúcim volanie.
Útok dokáže modifikovať parametre, ktoré sú odovzdávané odkazom do pamäte a ako Windows handle, a je vylepšením princípu popísaného už v roku 1996 pre Unix systémy.
Podľa testu Matousec je voči útoku neúčinný každý z testovaných antivírusov, či je možné obísť všetky real-time ochrany respektíve ktoré ochrany jednotlivých antivírusov je možné obísť správa neuvádza.
Testované boli a zraniteľné sú napríklad v abecednom poradí Avast, AVG, Avira, Eset Smart Security, Kaspersky, McAfee, Norton, Panda, ZoneAlarm.
Útok označovaný KHOBE obchádza relatívne jednoduchým princípom ochrany, ktoré antivírusy inštalujú do jadra Windows.
Podľa expertov je účinný na 32 aj 64-bitových verziách Windows XP, Vista aj 7.
Antivírusy vo Windows inštalujú do jadra vlastný kód realizujúci kontrolu, ktorý je spúšťaný pred vlastnými funkciami API jadra, napríklad otváraním a zatváraním súborov, zápisu do súborov a podobne.
Útok KHOBE volá funkcie systému s inštalovaným kontrolným kódom antivírusov s parametrami, ktoré kontroly antivírusu prepustia a akciu povolia, následne ale pred zavolaním skutočnej funkcie API jadra zamení škodlivý kód parametre volania. Útok je na súčasných viacjadrových procesoroch relatívne jednoducho realizovateľný, keďže ďalší thread škodlivého kódu, ktorý môže zmeniť argumenty, môže bežať paralelne s threadom uskutočňujúcim volanie.
Útok dokáže modifikovať parametre, ktoré sú odovzdávané odkazom do pamäte a ako Windows handle, a je vylepšením princípu popísaného už v roku 1996 pre Unix systémy.
Podľa testu Matousec je voči útoku neúčinný každý z testovaných antivírusov, či je možné obísť všetky real-time ochrany respektíve ktoré ochrany jednotlivých antivírusov je možné obísť správa neuvádza.
Testované boli a zraniteľné sú napríklad v abecednom poradí Avast, AVG, Avira, Eset Smart Security, Kaspersky, McAfee, Norton, Panda, ZoneAlarm.
0 Responses to "Nový útok obchádza ochrany všetkých Windows antivírusov"
Zverejnenie komentára