Lek in vrijwel alle antivirussoftware

Groot risico

10 mei 2010 | Jan Custers

Onderzoekers hebben een zwakke plek ontdekt in zowat alle antivirusprogramma’s voor Windows.

De specialisten van Matousec.com trekken aan de alarmbel. Op hun website wordt uitgebreid beschreven hoe ze antivirusprogramma’s van onder meer McAfee, Trend Micro, AVG en BitDefender om de tuin kunnen leiden.

Hooks
De exploit buit enkele slordigheden van de antivirusmakers uit. Aangezien de architectuur van Windows niet duidelijk is en ze hun beveiliging niet kunnen baseren op het analyseren van afwijkingen hierop, maken ze vaak gebruik van zogenaamde hooks.

Dat zijn aanpassingen in de kernelcode en datastructuren waarmee de ontwikkelaars hun programma’s alsnog diep in een systeem kunnen nestelen, en zo gevaarlijke aanvallen kunnen detecteren.

Slecht ontworpen
Het probleem is echter dat de hooks vaak slecht geïmplementeerd zijn en nieuwe kwetsbaarheden creëren. Dankzij zo’n zwakke plek kunnen hackers de beveiligingscontrole van antivirussoftware in de kernel omzeilen.

Door op het juiste moment code te injecteren, als de beveiligingscheck achter de rug is, kan kwaadaardige code worden uitgevoerd op een manier die niet te detecteren is door de antivirusprogramma’s.

Makkelijker bij multicoreprocessors
Elk programma dat gebruikmaakt van hooks in de SSDT (system service descriptor table) is hierdoor kwetsbaar. Computers met een multicoreprocessor zouden zelfs makkelijker te injecteren zijn vanwege de wachttijden voor rekenkernen bij simultane rekenopdrachten.

Hoewel deze ontdekking onrustwekkend is, blijft de bruikbaarheid voor hackers voorlopig beperkt. De grote hoeveelheid aan code die nodig is, maakt deze methode onbruikbaar voor zogenaamde shellcode-gebaseerde aanvallen.

Een andere voorwaarde is dat de aanvaller al de mogelijkheid heeft om code op de beoogde computer uit te voeren. Die kan hij evenwel krijgen door gebruik te maken van een van de vele exploits in bijvoorbeeld Adobe Reader of Java’s Virtual Machine.

Herschrijven is nodig
In theorie kunnen kwaadwillenden met deze methode malware installeren op je systeem en je beveiligingsprogramma’s verwijderen. Bovendien werkt het zowel onder administrator- als gebruikersrechten. Ontwikkelaars zullen hun antivirussoftware dus moeten herschrijven willen ze hun klanten relatieve zekerheid kunnen bieden.

 

Update 11/05:
In tegenstelling tot wat Matousec wil doen uitschijnen is deze methode niet nieuw. Volgens beveiligingsspecialist Wilders Security is de aanval inderdaad mogelijk, maar ontzettend lastig om uit te voeren. Dat meldt de techblog tweakers.net. De theorie achter de aanval dateert uit 1996 en een Russissche onderzoeker publiceerde in 2003 een proof-of-concept.

Lees meer artikels over : software, beveiliging, windows, antivirus, exploit

bron: ZDNet