image

Google vindt kritiek lek in virusscanners ESET

woensdag 24 juni 2015, 12:23 door Redactie, 25 reacties

Een onderzoeker van Google heeft in zijn eentje in een paar dagen tijd een kritiek beveiligingslek in de virusscanners en beveiligingssoftware van het Slowaakse anti-virusbedrijf ESET ontdekt waardoor aanvallers op afstand computers en systemen volledig kunnen overnemen, zonder dat er enige interactie van gebruikers is vereist. De kwetsbaarheid zou dan ook prima geschikt zijn voor een worm, waarbij bedrijfsnetwerken die de ESET-software gebruiken volledig kunnen worden besmet.

De ESET-software gebruikt een minifilter om alle in- en output (I/O) naar de harde schijf te onderscheppen, te analyseren en vervolgens te emuleren in het geval het om uitvoerbare code gaat. Via emulatie kan een bestand gedeeltelijk worden uitgevoerd voordat er signatures van de virusscanner worden gebruikt om te bepalen of het bestand kwaadaardig is of niet.

Via de browser, e-mailclient, instant messaging, bestandsdeling, netwerkopslag, USB en tal van andere manieren kan een aanvaller schijf I/O veroorzaken en zo de aanval uitvoeren. Het probleem wordt namelijk veroorzaakt door de emulatie die ESET uitvoert. De emulator blijkt niet robuust te zijn en is eenvoudig te compromitteren, aldus onderzoeker Tavis Ormandy van Google. Daardoor kan er kwaadaardige code met rootrechten worden uitgevoerd.

Het probleem speelt bij alle producten van ESET, waaronder de virusscanners voor Linux, Mac OS X en Windows. Als bewijs ontwikkelde Ormandy een werkende exploit waarmee systemen op afstand zijn aan te vallen. Afgelopen vrijdag waarschuwde Google ESET, waarbij de resultaten met het bedrijf in persoon werden besproken. Drie dagen later, op maandag, kwam de Slowaakse virusbestrijder met een update om het probleem te verhelpen.

Risico

Volgens Ormandy is het echter de vraag of gebruikers wel het risico en de voordelen van beveiligingssoftware tegen elkaar afwegen. In het verleden toonde Ormandy ook al grote problemen bij de anti-virussoftware van Sophos aan en deze week werd bekend dat de NSA en het GCHQ naar kwetsbaarheden in anti-virusprogramma's hebben gezocht. Het aanvallen van gebruikers via hun virusscanner is dan ook geen theoretisch risico, aldus Ormandy.

Image

Reacties (25)
24-06-2015, 12:30 door Anoniem
Dus is het inmiddels opgelost en is er geen lek meer? Wat is de nieuwswaarde van een kritiek lek dan nog?
Er zou wat meer aandacht moeten worden besteed aan hoe veilig de anti-virus scanners nog wel zijn door het gekloot van de veiligheidsdiensten. Het is wachten op de volgende anti-virus boer die getroffen is door een exploit uit de koker van Israel, de VS of de UK.
24-06-2015, 12:39 door svenvandewege
"Volgens Ormandy is het echter de vraag of gebruikers wel het risico en de voordelen van beveiligingssoftware tegen elkaar
afwegen."


Ik ben benieuwd of deze meneer weleens de bijsluiters leest van medicijnen.
24-06-2015, 12:53 door Anoniem
Paar opmerkingen.
Ik zie hem een URL openen, en die geeft dan aan HACKED!
1. Is dat zijn eigen IP of een ander device op het netwerk?
2. Ik heb niet gezien dat hij daadwerkelijk iets probeerde uit te voeren, dus ??

Naar mijn inzien leuk, maar zonder enig detail of een CVE nummer, geloof ik er tot nu toe weinig van.

Als dit daadwerkelijk van een google researcher komt, vind ik het vrij beschamend om enkel te laten zien HACKED en een calc te openen, terwijl geen enkel iets wat hij toont geverifieerd kan worden.
24-06-2015, 12:54 door Anoniem
Als aanvulling, als dat de daadwerkelijke exploit is, toon hem dan volledig of niet.
24-06-2015, 13:00 door potshot
[Verwijderd door moderator]
24-06-2015, 13:08 door Anoniem
Veel mensen updaten wel de virus definities, maar niet de software zelf. Dan blijven ze dus kwetsbaar lijkt me. Best kwalijk dus.
24-06-2015, 13:24 door AceHighness
Door potshot:
Door Anoniem: Dus is het inmiddels opgelost en is er geen lek meer? Wat is de nieuwswaarde van een kritiek lek dan nog?
Er zou wat meer aandacht moeten worden besteed aan hoe veilig de anti-virus scanners nog wel zijn door het gekloot van de veiligheidsdiensten. Het is wachten op de volgende anti-virus boer die getroffen is door een exploit uit de koker van Israel, de VS of de UK.

want china en rusland zijn ZOOO lief heh?
die doen zoiets niet heh?
naive sukkel.
Hehe potshot taking potshots at anoniempje
24-06-2015, 13:40 door Anoniem
Door Anoniem: Dus is het inmiddels opgelost en is er geen lek meer? Wat is de nieuwswaarde van een kritiek lek dan nog?

Het gaat in dit geval om av-software die overal aanwezig is en hopeloos lek blijkt te zijn, waardoor attackers overal kunnen binnenkomen. Of denk je dat iemand van Google de enige is die dit soort vulns kan vinden?
24-06-2015, 13:44 door Anoniem
Door Anoniem: Veel mensen updaten wel de virus definities, maar niet de software zelf. Dan blijven ze dus kwetsbaar lijkt me. Best kwalijk dus.
De kwetsbaarheid is gefixed in update 11824, wordt gewoon via de reguliere definitieupdates binnengetrokken. (http://www.virusradar.com/en/update/info/11824)

Inmiddels zit mijn scanner al op 11836, dus oud nieuws. =)
24-06-2015, 13:59 door Spiff has left the building
Door AceHighness:
Hehe potshot taking potshots at anoniempje
potshot kent zichzelf, en heeft zijn/haar alias goed gekozen, zo is ook uit eerdere reacties al gebleken.
24-06-2015, 14:26 door Anoniem
Door Anoniem: Veel mensen updaten wel de virus definities, maar niet de software zelf. Dan blijven ze dus kwetsbaar lijkt me. Best kwalijk dus.

Nee, de update komt mee met de virusdefinities.
24-06-2015, 14:29 door Edwin Cools
Ja het lek is opgelost, in de updates van ESET gaan dit soort dingen mee

Mits minimaal update 11824.

http://www.virusradar.com/en/update/info/11824

Dit is een mededeling van een ESET Reseller niet ESET zelf, een officiele reactie van ESET zou nog komen.

Wel mogen we meedelen dat Google klant is van ESET en haar medewerkers ermee beschermd. Vandaar ok de uitvoerige testen.
24-06-2015, 14:37 door Anoniem
Zoek de overeenkomsten :

In het verleden toonde Ormandy ook al grote problemen bij de anti-virussoftware van Sophos aan en deze week werd bekend dat de NSA en het GCHQ naar kwetsbaarheden in anti-virusprogramma's hebben gezocht.

Saillant detail, het betreft hier een ontdekking van een meesterhacker die zelf voor de nsa gewerkt heeft!
Hoewel wat hij aantoont en zijn punt hierop te onderzoeken goed en van groot belang is is toch een beetje de vraag of het kan zijn dat hij enige voorsprong in kennis heeft gezien de onderzoeksverrichtingen van genoemde diensten destijds.

De periode van de recente openbaringen betrof omstreeks 2008, wanneer werkte Tavis in overheidsdienst?

In een Tegenlicht documentaire over de markt in handel van zeroday exploits komt Ormandy trouwens zelf ook even aan het woord en vertelt hij wat over zijn manier van werken en de bedragen die hij soms verdient (buiten Google werktijd) met de verkoop van gevonden exploits in software.

Zero days - Tegenlicht
tegenlicht.vpro.nl/afleveringen/2014-2015/zero-days.html
http://www.npo.nl/vpro-tegenlicht/12-10-2014/VPWON_1219701
(flashplayer vereist)

Hoe zou het inmiddels met de veiligheid van de destijds getargete AV scanners staan?

Ikarus - Australia
Emsisoft - Austria
Antity - Chinese
Avast - Czech
AVG - Czech
F-secure - Finland
fsb-antivirus - France
Avira - Germany
F-prot - Iceland
k7computing - India
Checkpoint - Israel
eAladdin - Israel
Novirusthanks - Italy
Viritpro - Italy
Hauri - Korea
Norman - Norway
Arcabit - Poland
Bit-Defender - Romania
DrWeb - Russia
Ahnlab - S Korea
Eset - Slovakia
Nod32 - Slovakia
Spy-Emergency - Slovakia

https://prod01-cdn02.cdn.firstlook.org/wp-uploads/sites/1/2015/06/moar-targets-540x405.png

Mcafee, Symanyec en Sophos werden destijds niet getarget, wat betreft het laatste merk is dat later door inmiddels Google-Ormandy op andere meer openbare wijze wat gecompenseerd.

Novirusthanks?
Noavrootcorruptionthanks!
24-06-2015, 15:30 door Anoniem
Ook leuk, van de banken moet je je apparatuur goed beveiligen (wat neerkomt op het regelmatig bijwerken van software en het continue uitvoeren van een malwarescanner) anders is de kans groot dat ze je bij misbruik niet compenseren, echter is AV niet meer dan een doekje voor het bloeden en kan het de veiligheid van je systeem zelfs verslechteren.
Bij mij komt die troep er niet meer in (hoogstens een on-demandscanner waar ik controle over kan hebben, bijvoorbeeld een die open source is of onder een gebruiker met verlaagde rechten kan draaien), echter voor de massa is dat geen optie en blijft het dweilen met de kraan open terwijl er big bucks verdiend worden.
24-06-2015, 15:43 door Anoniem
Door Anoniem: Zoek de overeenkomsten :

In het verleden toonde Ormandy ook al grote problemen bij de anti-virussoftware van Sophos aan en deze week werd bekend dat de NSA en het GCHQ naar kwetsbaarheden in anti-virusprogramma's hebben gezocht.

Saillant detail, het betreft hier een ontdekking van een meesterhacker die zelf voor de nsa gewerkt heeft!
Hoewel wat hij aantoont en zijn punt hierop te onderzoeken goed en van groot belang is is toch een beetje de vraag of het kan zijn dat hij enige voorsprong in kennis heeft gezien de onderzoeksverrichtingen van genoemde diensten destijds.

De periode van de recente openbaringen betrof omstreeks 2008, wanneer werkte Tavis in overheidsdienst?

In een Tegenlicht documentaire over de markt in handel van zeroday exploits komt Ormandy trouwens zelf ook even aan het woord en vertelt hij wat over zijn manier van werken en de bedragen die hij soms verdient (buiten Google werktijd) met de verkoop van gevonden exploits in software.

Zero days - Tegenlicht
tegenlicht.vpro.nl/afleveringen/2014-2015/zero-days.html
http://www.npo.nl/vpro-tegenlicht/12-10-2014/VPWON_1219701
(flashplayer vereist)

Hoe zou het inmiddels met de veiligheid van de destijds getargete AV scanners staan?

Ikarus - Australia
Emsisoft - Austria
Antity - Chinese
Avast - Czech
AVG - Czech
F-secure - Finland
fsb-antivirus - France
Avira - Germany
F-prot - Iceland
k7computing - India
Checkpoint - Israel
eAladdin - Israel
Novirusthanks - Italy
Viritpro - Italy
Hauri - Korea
Norman - Norway
Arcabit - Poland
Bit-Defender - Romania
DrWeb - Russia
Ahnlab - S Korea
Eset - Slovakia
Nod32 - Slovakia
Spy-Emergency - Slovakia

https://prod01-cdn02.cdn.firstlook.org/wp-uploads/sites/1/2015/06/moar-targets-540x405.png

Mcafee, Symanyec en Sophos werden destijds niet getarget, wat betreft het laatste merk is dat later door inmiddels Google-Ormandy op andere meer openbare wijze wat gecompenseerd.

Novirusthanks?
Noavrootcorruptionthanks!


wat ik meestal hieruit opmerk dat er vaak geen Amerikaanse anti-virus bedrijven opstaan, en hoe zou dit komen?
24-06-2015, 15:52 door Anoniem
Vorig jaar : "Onderzoeker: virusscanner maakt computer kwetsbaarder"


Koret besloot een groot aantal virusscanners te onderzoeken en ontdekte 14 lokale en remote lekken in verschillende producten van onder andere Avast, AVG, Bitdefender, ESET, F-Secure en Panda.
https://www.security.nl/posting/396770/Onderzoeker:+virusscanner+maakt+computer+kwetsbaarder

Security prioriteit?
De onderzoeker concludeert dan ook dat een virusscanner het systeem niet veiliger tegen een ervaren aanvaller maakt en het aanvalsoppervlak juist vergroot. "Ze zijn net zo kwetsbaar als elke andere applicatie", laat Koret weten, die nogmaals herhaalt dat anti-virussoftware de computer juist kwetsbaarder maakt. Ook zouden de programma's vol kwetsbaarheden zitten. Iets waar sommige anti-virusbedrijven volgens de onderzoeker niets om geven.

Meer concrete voorbeelden

Uit 'Breaking antivirus software' , pdf presentatie download
- Avast: Heap overflow in RPM (reported, fixed and paid Bug Bounty)

- Avg: Heap overflow with Cpio (fixed...)/Multiple vulnerabilities with packers

- Avira: Multiple remote vulnerabilities

- BitDefender: Multiple remote vulnerabilities

- ClamAV: Infinite loop with a malformed PE (reported & fixed)

- Comodo: Heap overflow with Chm

- DrWeb: Multiple remote vulnerabilities (vulnerability with updating engine fixed)

- ESET: Integer overflow with PDF (fixed)/Multiple vulnerabilities with packers

- F-Prot: Heap overflows with multiple packers

- F-Secure: Multiple vulnerabilities in Aqua engine (all the F-Secure own bugs fixed)

- Panda: Multiple local privilege escalations (reported and partially fixed)

- eScan: Multiple remote command injection (all fixed? LOL, I doubt...)


( And many more... )
http://www.syscan360.org/slides/2014_EN_BreakingAVSoftware_JoxeanKoret.pdf

Klinkt bekend (pag 21&24)
Exploiting AV engines

Even in “major” AV engines...

- The condition, often, is the emulator.


Alles op een rij :

- Kwetsbaarheden in AV scanners

Avast
Avg
Avira
BitDefender
BitDefender engine G-Data
BitDefender engine Immunet
BitDefender engine LavaSoft
BitDefender engine … overige merken…
Bkav
ClamAv
Comodo
DrWeb
escan (inlcusief Linux versie)
Eset NOD 32
Eset. F-prot
F-Secure
FortiClient
Ikarus
Kaspersky
Panda
Sophos
….
(In detail per Merk besproken vanaf pagina 30 in het pdf)

- Aanvallen op AV scanners, o.a.

Ahnlab
Antity
Arcabit
Avast
AVG
Avira
Bit-Defender
Checkpoint
DrWeb
eAladdin
Emsisoft
Eset
F-prot
F-secure
fsb-antivirus
Hauri
Ikarus
k7computing
Nod32
Norman
Novirusthanks
Spy-Emergency
Viritpro


Vragen :

- Welke merken ontspringen nog de dans?
- Komen de merken die hier niet tussen staan nog op andere lijsten wel voor?
- Welke scanners blijven dan nog over?

De afbeelding op pagina 50 van het onderzoeks-pdf geeft discutabele hoop.
24-06-2015, 17:28 door Righard J. Zwienenberg
[Verwijderd]
24-06-2015, 18:56 door Righard J. Zwienenberg
Door Edwin Cools: Ja het lek is opgelost, in de updates van ESET gaan dit soort dingen mee
[...]
Dit is een mededeling van een ESET Reseller niet ESET zelf, een officiele reactie van ESET zou nog komen.

Wel mogen we meedelen dat Google klant is van ESET en haar medewerkers ermee beschermd. Vandaar ok de uitvoerige testen.

http://www.eset.com/int/about/press/eset-blog/article/eset-vulnerability-fixed
24-06-2015, 19:48 door Eric-Jan H te D
Antivirusprogrammatuur is in zijn aard gevaarlijke programmatuur.
24-06-2015, 21:19 door Anoniem
Correctie

Door Anoniem: Zoek de overeenkomsten :

In het verleden toonde Ormandy ook al grote problemen bij de anti-virussoftware van Sophos aan en deze week werd bekend dat de NSA en het GCHQ naar kwetsbaarheden in anti-virusprogramma's hebben gezocht.

Saillant detail, ...

Niks saillant detail!
Ik heb me enorm vergist!
Ik verwarde Charly Miller met Tavis Ormandy (het lijkt zo op elkaar).
Charly miller heeft bij de nsa gewerkt en niet Tavis Ormandy.
Wel werken ze allebei voor een groot bekend bedrijf, Charly werkt voor Twitter en Tavis voor Google.
Maar dat doet er verder niet toe.
Ik heb me vergist!

Sorry Tavis!

Anoniem, 14:37
25-06-2015, 04:08 door CrioWria - Bijgewerkt: 25-06-2015, 04:08
Door Anoniem: Veel mensen updaten wel de virus definities, maar niet de software zelf.
Klopt, gebruik toevallig Eset (Smart Securtiy, al jaren met tevredenheid) en werk nog met versie 6 (onder XP nog met 4 zelfs) helemaal niets mis mee (althans dat denk ik), simpelweg geen zin om te updaten. Normaal doe ik dat bij een formatje (net daarvoor test ik dan even de nieuw versie) echter lukt het mij tegenwoordig om meer dan 3 jaar met een installatie te doen.
25-06-2015, 15:05 door Anoniem
Mijn God,dit is een ramp! Alle bekende en minder bekende virusscanners hebben gaten waar je u tegen zegt.En het kan ze niks schelen,als ze maar verkopen en de centjes binnenhalen! McAfee en Norton zag ik niet genoemd worden,maar uit eigen ervaring kan ik zeggen dat die de machine ook niet tegen gerichte aanvallen/aanvallers kan beschermen (dat was norton 360,mischien dat het huidige produkt beter is (of niet,mischien juist nog slechter),kaspersky idem dito,ik heb mogen meemaken dat mijn computergeheugen/C schijf volliep met allemaal data/bestanden die ik niet zelf heb gedownload,en ook met bitdefender gebeuren er nu vreemde dingen.Is er dan nog een een antivirus dat wel lek-proof is? Please ga me niet vertellen dat dat Microsoft Security Essentials/Windows Defender is,die mag dan mischien hacker proof zijn (wat ik betwijfel),maar die vindt de meeste malware toch al niet,dus een hacker hoeft die antivirus niet te penetreren/slopen.Is er dan nog een andere die wel veilig is,bijv. de 360 total security die de o.a. de engines van bitdefender en avira gebruikt? Een ding hebben MSE en 360 TS met nog een aantal anderen voor op de betaalden,ze zijn gratis! Als ik het mag geloven dan is Bitdefender zo lek als een mandje,en daar betaal ik 70 euro per jaar voor!
25-06-2015, 15:58 door Anoniem
Trendmicro wordt ook niet genoemd .Dus is die dan wel veilig?
25-06-2015, 22:43 door Anoniem
Gewoon Microsoft dumpen.

Dan het is virusprobleem grotendeels opgelost.
25-06-2015, 23:16 door Anoniem
Door Anoniem: Gewoon Microsoft dumpen.

Dan het is virusprobleem grotendeels opgelost.
Oh ja,volgens mij bestaat er ook malware voor mac,linux,chromebook,blackberry,android. en de virusscanners op linux,mac,blackberry,en android hebben ook security-flaws.Dus gewoon je windows/linux/mac computer en mobiele devices weggooien en niet meer online gaan is het enige echt veilige.Maar ja,ondertussen kunnen we niet meer zonder internet.De overheid en de banken dwingen ons steeds meer tot gebruik van internet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.