Nytt angrep lurer all antivirus

Nytt angrep lurer all antivirus

Avslører metode som slår all antivirusprogramvare på markedet.

Forskere har funnet en måte å forbigå beskyttelsesmetoden en rekke antivirusprogrammer bruker, deriblant løsningene fra Mcafee, Trend Micro, AVG og Bitdefender, skriver The Register.

Det er sikkerhetsselskapet Matousec som har pønsket ut trikset. Metoden går på å utnytte driverne antivirusprogrammene har hektet fast dypt inne i Windows. Skurkene sender inn godsinnet kode som får godkjenningsstempel av sikkerhetssjekken, men rett før koden skal eksekveres, byttes den ut med ondsinnet kode.

SSDT

Det hele må riktignok times helt perfekt, den snille koden må ikke byttes ikke for tidlig og ikke for sent. Men for systemer med flerkjernede prosessorer fungerer angrepet greit, ettersom prosessortråder sjeldent klarer å holde oversikt over andre prosessortråder som kjører samtidig.

Dermed kan pc-er med de fleste typer antivirusprogrammer for Windows lures til å la ondsinnet kode, som normalt sett ville blitt blokkert, kjøre. I alle fall om antivirusprogrammet bruker System Service Descriptor Table (SSDT) som er hektet fast til operativsystemets kjerne.

- Vi har gjort tester med de fleste av sikkerhetsproduktene for Windows. Resultatet kan oppsummeres med én setning: Om produktet bruker SSDT-hekting, eller en annen form for kjerne-hekting, for å implementere sin sikkerhetsfunksjonalitet, er det sårbart. Med andre ord var 100 prosent av produktene vi testet sårbare, skriver selskapet.

Forbehold

De har testet 34 ulike produkter som var angrepbare. De kunne gjerne teste flere, men tiden løp ut – og listen kunne fort blitt riktig lang. Selv brukerkontoer med begrensede rettigheter er sårbare.

Det er riktignok noen forbehold med angrepet. Det krever mye kode for å få det hele til å fungere, så et slikt angrep blir vrient å trikse inn i en datamaskin via angrep som baserer seg på legge seg kjapt og stille inn i maskinen. Det krever også at angriperen allerede har mulighet til å kjøre binær kode på offerets pc.

Men angrepet kan kombineres med å utnytte for eksempel en sårbar versjon av Adobe Reader for å installere seg selv, uten at brukeren har mistanke. Selve angrepsmetoden kan også brukes til å rett og slett avinstallere antivirusprogramvaren.

Les om: