Nieuws
image

Anti-virusbedrijven niet bang voor nieuwe aanval

dinsdag 11 mei 2010, 11:34 door Redactie, 4 reacties

Anti-virusbedrijven maken zich weinig zorgen over de nieuwe aanval die de bescherming van bijna alle virusscanners zou kunnen omzeilen. Vorige week publiceerde beveiligingsbedrijf Matousec een rapport waaruit blijkt dat beveiligingssoftware eenvoudig is te misleiden, waardoor malware toch op het systeem wordt uitgevoerd.

Zowel het Finse anti-virusbedrijf F-Secure als Trend Micro erkennen de ernst van de aanval, maar zien het niet als een onoplosbaar probleem. "Deze aanval 'breekt' echter niet alle virusscanners voor altijd. Verre van dat", zegt Mikko Hyppönen van F-Secure. De virusscanner van het bedrijf blokkeert nog steeds alle malware die het detecteert, net zoals het altijd al deed.

Signature
Het probleem doet zich alleen bij onbekende malware voor, waar nog geen signature voor beschikbaar is. Om gebruikers tegen dit soort malware te beschermen gebruikt het anti-virusbedrijf verschillende sensoren. De aanval van Matousec wist slechts enkele van deze sensoren te omzeilen, merkt Hyppönen op. Mochten aanvallers de beschreven tactiek in de toekomst gaan toepassen, dan wordt er gewoon een signature toegevoegd, aldus de virusbestrijder.

Dronkaard
Volgens Rik Ferguson van Trend Micro zullen anti-virusbedrijven het probleem in de toekomst oplossen. Het werkelijk probleem ligt veel dieper. Namelijk dat standaard beveiligingssoftware in dezelfde context draait als de malware waar het tegen wil beschermen. "Het onderzoek van Matousec is op de korte termijn belangrijk, als je Windows XP gebruikt. Oplossingen voor de lange termijn moeten over de mogelijkheid beschikken om bescherming off-box te halen. Tenslotte zal de dronkaard altijd zeggen dat hij in orde is."

Ook Microsoft heeft zich in de aanval van Matousec verdiept. "Onze real-time bescherming lijkt op het eerste gezicht niet kwetsbaar te zijn", zo laat de softwaregigant via Twitter weten.

Reacties (4)
11-05-2010, 12:04 door sjonniev
Zie ook http://www.sophos.com/blogs/duck/g/2010/05/11/khobe-vulnerability-earth-shaker/
11-05-2010, 15:47 door Bitwiper
Door Rik Ferguson in http://countermeasures.trendmicro.eu/you-just-cant-trust-a-drunk/: Simply that in standard endpoint security architecture, protection engines run in the same context as the malware they try to protect against.
(door de redactie m.i. correct vertaald in "Namelijk dat standaard beveiligingssoftware in dezelfde context draait als de malware waar het tegen wil beschermen").

Dit geldt niet voor systemen waar gebruikers beperkte rechten op hebben (non-admin en non-power-user accounts onder XP, en UAC in Vista en W7): daar draait malware in principe niet met dezelfde rechten als de beveiligingssoftware.

In http://www.matousec.com/info/articles/plague-in-security-software-drivers.php spreekt Matousec echter expliciet van:
This allows local Denial of Service by unprivileged users or even privilege escalations exploits to be created.
Heeft iemand zich hier al in verdiept en gezien of dit mogelijk is? Zo ja dan zou deze "aardbeving schaal 8" betekenen dat privilege escalation mogelijk is indien de betreffende beveiligingssoftware op typische bedrijfs PC's (en scholen etc) is geinstalleerd.
11-05-2010, 16:47 door Rubbertje
Ik vraag me af waar de nieuwe aanval voor gebruikt wordt. Hoe wordt de aanval uitgevoerd, moet je een uitvoerbaar bestand (exe) runnen om aangevallen te kunnen worden?
11-05-2010, 16:48 door Bitwiper
Aanvulling: het feit dat beveiligingssoftware privilege escalation attacks mogelijk maakt (en de makers van die beveiligingssoftware doen alsof dat niet boeiend is) lijkt door McAfee te worden bevestigd in http://www.h-online.com/security/news/item/New-attack-bypasses-anti-virus-software-997621.html
McAfee has told The H's associates at heise Security that it considers a successful attack to be unlikely in practice. Effectively manipulating an argument during a context switch would require a great many attempts, which would likely result in a blue screen of death. Furthermore, malware has to have already penetrated a system in order to be able to carry out this attack. The argument switching attack would only allow it to escalate its privileges – that's if it doesn't already have administrator privileges due to the unfortunate habit of users working as administrators.
Kortom, malware welke nog niet middels definities wordt herkend (en die is simpel te maken) en die door een unprivileged user wordt gestart, kan dankzij de aanwezigheid van beveiligingssoftware met heuristische detectiefunctionaliteit (middels SSDT hooks, standaard onder XP maar volgens het H-Online artikel ook in latere besturingssystemen vaak toegepast) systeemrechten verkrijgen.
Briljant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search