Earthquake for Windows Desktop Security Software

[התמונה במקור מהפוסטר של הסרט 'Hook']
מספר חבר'ה מ-Matousec פרסמו לאחרונה ידיעה תחת הכותרת המפוצצת:  
Earthquake for Windows Desktop Security Software
 
את הידיעה הם פרסמו לאחר שמצאו מספר ממצאים מעניינים במספר רב מאוד של מוצרי אבטחת מידע
(בעיקר אנטי-וירוסים). רשימת המוצרים היא:
  •     3D EQSecure Professional Edition 4.2
  •     avast! Internet Security 5.0.462
  •     AVG Internet Security 9.0.791
  •     Avira Premium Security Suite 10.0.0.536
  •     BitDefender Total Security 2010 13.0.20.347
  •     Blink Professional 4.6.1
  •     CA Internet Security Suite Plus 2010 6.0.0.272
  •     Comodo Internet Security Free 4.0.138377.779
  •     DefenseWall Personal Firewall 3.00
  •     Dr.Web Security Space Pro 6.0.0.03100
  •     ESET Smart Security 4.2.35.3
  •     F-Secure Internet Security 2010 10.00 build 246
  •     G DATA TotalCare 2010
  •     Kaspersky Internet Security 2010 9.0.0.736
  •     KingSoft Personal Firewall 9 Plus 2009.05.07.70
  •     Malware Defender 2.6.0
  •     McAfee Total Protection 2010 10.0.580
  •     Norman Security Suite PRO 8.0
  •     Norton Internet Security 2010 17.5.0.127
  •     Online Armor Premium 4.0.0.35
  •     Online Solutions Security Suite 1.5.14905.0
  •     Outpost Security Suite Pro 6.7.3.3063.452.0726
  •     Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
  •     Panda Internet Security 2010 15.01.00
  •     PC Tools Firewall Plus 6.0.0.88
  •     PrivateFirewall 7.0.20.37
  •     Security Shield 2010 13.0.16.313
  •     Sophos Endpoint Security and Control 9.0.5
  •     Trend Micro Internet Security Pro 2010 17.50.1647.0000
  •     Vba32 Personal 3.12.12.4
  •     VIPRE Antivirus Premium 4.0.3272
  •     VirusBuster Internet Security Suite 3.2
  •     Webroot Internet Security Essentials 6.1.0.145
  •     ZoneAlarm Extreme Security 9.1.507.000
ולפי דבריהם- עוד מספר רב מאוד של מוצרים פגיע למתקפה זאת.
 
Matousec מוכרים בעיקר בגלל העזרה והתמיכה בפרוייקטים כמו:
ועוד רבים.
 
אז מה בדיוק הם מצאו?
הם מצאו שכלל המוצרים ברשימה, משתמשים במימוש לא נכון של פעולות Hooking (גם ב-User Mode וגם
ב-Kernel Mode) למיניהן (בייחוד SSDT Hooks- ביצוע פעולת Hookingעל פונקציות מערכת הנמצאות
ב-System Service Dispatch Table), אופן המימוש חושף את אותם המוצרים למתקפה הנקראת "Argument
Switch Attack". מתקפה אשר ביצוע מוצלח שלה מאפשר לתוכנה זדונית (מקומית) להתערב בתוצאותיה של
חישוב או פעולה מסוימת ע"י ביצוע החלפה של הערכים המועברים בסופה של הפעולה. - מעין Men In The
Middle על פעולות Hooking.

לדוגמה, תוכנה זדונית כגון וירוס או תולעת, אשר מזהה סריקה של תוכנת האנטי-וירוס המקומית, יכולה להתערב
בתהליך הסריקה ולהזריק נתונים שקריים אשר יחזרו מפעולת ההשוואה בין החתימה הדיגיטלית שלה לבין מאגר
החתימות של תוכנת האנטי-וירוס, וכך לגרום לאנטי-וירוס לא לזהות כי אכן מדובר בוירוס.
 
חשיפה זאת נובעת ברב המקרים מביצוע פעולות Hooking ובדיקות אבטחת מידע על נתונים (כגון מצביעים
ו-Handles) אשר מגיעים מה-User Mode ולא עברו שום בדיקות אימות.


את המאמר המלא אשר פורסם אפשר לקרוא כאן: (מומלץ בחום!)
http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php
 
בנוסף, מי שמעוניין לקרוא עוד על Hooking וכד' יכול לקרוא את המאמר המצויין של Zerith:
"Rootkits - דרכי פעולה וטכניקות בשימוש" - חלק א' ו-חלק ב' שפורסם בגליון השישי והשביעי.



תגובות על 'Earthquake for Windows Desktop Security Software':



#1 

cp77fk4r:
לפי איך שזה נראה- אנחנו עומדים לקבל הרבה מאוד עדכוני אבטחה "קריטיים" משלל מוצרי אבטחה בזמן האחרון :)
06.05.2010 21:42:36

#2 

m1ch43l1014 (אורח):
אחלה סיקור ! מעניין לדעת אם האנטי וירוס שלי לא מופיע ברשימה עליי לדאוג?
06.05.2010 22:24:48

#3 

cp77fk4r:
יכול להיות שהוא לא מופיע ברשימה אבל עדיין חשוף. אני מאמין שבקרוב מאוד הרבה מאוד חברות אנטי-וירוס הרציניות ישחררו עדכון שיגן מפני זה.

ואין לך סיבה לדאוג- מדובר באיום לוקאלי, אם אתה מפעיל את המוח שלך כשאתה גולש באינטרנט ואתה מודע לאיומים- סביר להניח שלא תדבק באיזה משהו.
06.05.2010 23:37:54

#4 

m1ch43l1014 (אורח):
אוקיי תודה על העצה :] מעניין לדעת אם יש וירוס שמנצל את החולשה הזו ואני מעלה קובץ נגוע בוירוס לאתרים של סריקה online הוא יזהה שזה וירוס?
07.05.2010 01:31:57

#5 

cp77fk4r:
אין הבדל בין האנטי וירוס שנמצא אצלך לבין האנטי וירוס שנמצא בשרתים שלהם (אתרים כגון VirusTotal וכו'), במידה והוירוס הצליח להתחמק מהאנטי-וירוס במחשב שלך, הוא יצליח להתחמק מאותו אנטי וירוס גם בשרת, אבל קשה לי להאמין שהוא יצליח להתחמק מכולם, לא כל האנטי-וירוסים מיושמים אותו דבר, ולכן קשה למצוא וירוס שמצליח להתחמק מכולם. (וזה בדיוק הרעיון של סריקה מרובת אנטי-וירוסים)
07.05.2010 04:32:35

#6 

m1ch43l1014 (אורח):
לכן אמר לי אדם מאוד מאוד חכם "האנטי וירוס הטוב ביותר הוא הראש שלך".בנתיים המשפט הזה לא תופס לגבי אבל בהמשך אולי כן :]
07.05.2010 11:43:33

#7 

m1ch43l1014 (אורח):
לגביי*
07.05.2010 14:27:27



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.