Átfogó támadás indult a víruskeresők ellen

Napjainkban már korántsem számít szokatlan történésnek, amikor egy szoftverről kiderül, hogy azon egy biztonsági rés tátong, és kockázatot jelent az azt futtató számítógépekre, illetve az adatokra. Többnyire ugyancsak nem okoz különösebb meglepetést, amikor egy biztonsági alkalmazásról derül ki, hogy valamilyen úton-módon sebezhető. Azonban egy olyan hír, amely arról szól, hogy majdnem három tucatnyi víruskereső sérülékeny egy támadási módszerrel szemben, az már felkelti a világsajtó érdeklődését is. Az elmúlt napokban pontosan ez történt, hiszen a Matousec kutatói egy igencsak figyelemfelkeltő felfedezéssel álltak elő.

Célkeresztben a kernelkezelés

A Matousec szakértői által leleplezett támadási eljárás lényege, hogy az antivírus alkalmazások kernelkezelési sajátosságait igyekszik kihasználni. Az „argument-switch attack” néven emlegetett módszer lehetőséget biztosíthat a kártékony kódok számára, hogy az antivírus alkalmazások többsége által alkalmazott kernelműveleteket különféle károkozási célokra használják fel. Az úgynevezett kernel hook azért fontos a víruskeresők működése során, mivel többek között ezáltal képesek figyelni azokat a rendszerhívásokat, amelyeket akár rosszindulatú alkalmazások is kezdeményezhetnek. Összességében elmondható, hogy az "argument-switch attack" technika felhasználásával lehetősége nyílhat a vírusterjesztőknek arra, hogy megfelelő időzítés és kódolás révén zöld utat adjanak egy rosszindulatú programnak a víruskeresés során. A módszer kimutatása érdekében a kutatók összeállítottak egy olyan KHOBE (Kernel Hook Bypassing Engine) motort, amely egyszerűbbé tette az exploitok készítését, és ezzel lehetővé vált a piacon fellelhető védelmi alkalmazások gyorsabb tesztelése.

A biztonsági kutatók szerint az általuk publikált támadási módszer komoly veszélyeket tartogat. Azonban az antivírus fejlesztők véleménye igencsak megoszlik ebben a kérdésben, de az eddig megszólaló cégek mindegyike elismerte a probléma létezését. Az eddigi tesztek és vizsgálatok szerint a kockázatokkal a Windows XP SP3 és a 32 bites Vista SP1 operációs rendszerek esetében biztosan számolni kell, azonban elképzelhető, hogy egyéb Windows verziók kapcsán is tartogat még meglepetéseket a biztonsági rés.

Most pedig vegyük szemügyre, hogy az egyes biztonsági cégek miként vélekednek a Matousec felfedezéséről:

Immunet: Alfred Huger, az Immunet alelnöke szerint a sérülékenység nyilvánvalóan veszélyt jelent, ugyanakkor megjegyezte, hogy az Immunet kliensalkalmazását nem érinti a rendellenesség, ugyanis az másképp kezeli a Windows kerneljét. A szakember leginkább attól tart, hogy bizonyos bűnözői csoportok készítenek majd olyan szoftvercsomagokat, eszközkészleteket, amelyek révén gyorsan lehet kártékony programokat összeállítani, illetve a technikát széles körben adaptálni. Huger úgy véli, hogy a célkeresztbe leginkább a 32 bites Windows XP alapú rendszerek kerülhetnek, ugyanis ezek még mindig nagyon elterjedtek, és nem tartalmazzák azt a kockázatcsökkentő, PatchGuard kernelvédelmet, amelyet a Microsoft 2005-ben a 64 bites Windows XP valamint a Windows Server 2003 SP1 kapcsán jelentett be, és azóta is alkalmaz.

F-Secure: "Ez egy komoly probléma, és a Matousec által publikált technikai információk helytállóak." - mondta Mikko Hypponen, az F-Secure kutatási igazgatója. A szakember ugyanakkor hozzátette, hogy a sérülékenységet kihasználó kódok ellen jól lehet védekezni, és a jövőben figyelni fognak arra, hogy az ilyen, nemkívánatos programokat kiszűrjék. Erre a szignatúraalapú valamint a többrétegű védelmi megoldások is megfelelőek lehetnek.

Trend Micro: "A Matousec kutatása kiemelt fontosságú, és nagy jelentőséggel bír a közeljövőre nézve. - vélekedett Rik Ferguson a Trend Micro biztonsági tanácsadója.

McAfee: A biztonsági cég szerint a probléma nem annyira súlyos, mint amennyire első ránézésre tűnhet. "Az eddig megjelent kutatásokról szóló információk, dokumentumok alapján úgy gondoljuk, hogy egy meglehetősen bonyolult támadási módszerről van szó, amellyel kapcsolatban számos kockázatcsökkentő tényezővel lehet számolni. Ezért valószínűtlen, hogy ezt a technikát széles körben használják majd ki a támadók." - igyekezett higgadtságra inteni a McAfee szóvivője.

Kaspersky Lab: "Elemeztük a kutatók által közzétett dokumentumokat, és megállapítottuk, hogy a probléma a termékeink esetében csak bizonyos funkciókat érint. Mi nemcsak a kernel hook technikákkal élünk a védelmi alkalmazásaink fejlesztése során, hanem számos egyéb technológiát (például sandbox eljárást) használunk annak érdekében, hogy a gyanús, kernelszintű tevékenységeket korlátozzuk." - reagált a hírekre a biztonsági cég.

ESET: David Harley, az ESET egyik igazgatója egy blogbejegyzés keretében arról írt, hogy a Matousec által publikált információk nem igazán jelentenek újdonságot, ugyanis már korábban is ismertek voltak hasonló kutatási eredmények. Ennek ellenére elismerte, hogy a sérülékenység létezik, ami annyit jelent, hogy ha egy elméleti szinten létező kártevő azt kihasználja, akkor rejtve maradhat a víruskeresők előtt. Azonban a szakember is hangsúlyozta, hogy számos kockázatcsökkentő módszer létezik, és az ESET alap víruskereső motorja nem érintett a hiba által.

Az eddigi vizsgálatokból az tűnik ki, hogy a problémát nem a Windows operációs rendszer, illetve a kernel egy esetleges hibája okozza, hanem az az egyes külső alkalmazások nem megfelelő kernelkezelésére vezethető vissza. Ennek ellenére a Microsoft is vizsgálja a történteket.

A Matousec kutatói már az összes érintett fejlesztőcéget értesítették, és állítólag több helyről kaptak olyan visszajelzést, miszerint a következő verziójú antivírus szoftverek már nem fogják használni a problémás technikát a kernelszintű védelem során. Azt azonban egyelőre nem lehet tudni, hogy a sérülékeny alkalmazások mikor szabadulhatnak meg a rendellenességtől.

A Matousec a sebezhetőséget harmincöt különféle víruskeresőben, illetve védelmi szoftverben mutatta ki. Ezek listáját a Matousec cikkében lehet megtekinteni.