A Matousec oldalán IT-biztonsági kutatók egy csoportja egy új támadási eljárást tett közzé, amely ellen a jelenlegi vírusirtók többsége teljesen védtelen. Tesztjükön ugyanis több mint 30 antivírus motor vérzett el, köztük az avast, a Comodo, az Eset, az F-Secure, a Kaspersky, a Mcafee, a Norton, a Panda, a Vipre és a VirusBuster megoldása.
Veszélyes kampók
A publikált KHOBE (Kernel HOok Bypassing Engine) támadás a vírusirtók SSDT kampóit használja ki. A modern védelmi szoftverek ugyanis több módon igyekszenek útját állni az ártó programoknak. Egyrészt a vírusadatbázisukban található minták alapján és heurisztikus analízissel, amely a futó rutinok gyanús utasításait és műveleteit igyekszik kiszúrni. Ám a vírusírók meglehetősen képzettek, így egyre gyakrabban képesek kijátszani e védelmi funkciókat, ami miatt a modern víruskeresők már a programok viselkedése alapján és HIPS behatolás-megelőző rendszerrel igyekszenek emelni a védelem esélyeit. E mellett a vírusirtók szeretnek minél nagyobb betekintést nyerni a futó folyamatokba, így e szoftverek gyakran elhelyezik a saját kódjaikat az operációs rendszer kerneljében. Ezt a módosítást kampóknak (hooks) nevezik, ám ez a fajta kernel implementálás most a visszájára fordult. A biztonsági kutatók ugyanis már 2007 óta vizsgálták, hogy miként lehetne ezt a szokást kijátszani. A vizsgálatuk szerint könnyedén, mivel e kernel-implementálások sok esetben nem megfelelőek, elkapkodott programozói munkák, ami összességében egy újabb biztonsági rést eredményez.
Az eljárásuk a System Service Descriptor Table (SSDT) rutinba beépülő antivírus kampókat támadja, ahova egyébként a fenti névsor szerint az IT-biztonsági szoftverek gyártói előszeretettel irkálnak. A támadás során a kártevő több hamis mintával bombázza az érintett sérülékenységet. Ha az időzítés megfelelő, akkor a vírus zavartalanul kikerülheti a vírusirtó motorokat, egyúttal átvéve az irányítást a rendszer felett.
A Matousec beszámolója szerint a biztonsági kutatók már több antivírus szoftverfejlesztő céggel felvették a kapcsolatot, amelynek létezetését többen meg is erősítették. Sőt a figyelmeztetés eredményeként már néhány fejlesztő módosította megoldását, de néhány szoftvercég teljesen figyelmen kívül hagyta az SSDT kampójának a rését.
Szerencsére az eljárás nem veszedelmes, mivel a kutatók elmondása alapján a tesztjükben nem távolról fertőzték meg a gépeket, hanem a kártékony kód már a gépen található volt. Azaz e hiba kihasználásához a támadóknak elsőként a munkaállomásokra kell juttatniuk csalfa programjukat, amely egyébként nem egyszerű feladat.
Minden Windows érintett
A kutatásban a rést Windows XP SP3 és Vista SP1 rendszereken tesztelték, de a kutatók beszámolója szerint minden Windows operációs rendszer érintett, habár a redmondi szoftvercég nem sokat tehet ellene. "Ez a probléma kizárólag a külső fejlesztőket érinti, a Microsoftnak semmilyen lépést sem kell tennie" - mondta a Matousec képviselője az eWeek kérdésére. Ennek ellenére minden jel szerint a redmondi szoftvercég vizsgálatot indított: "Vizsgáljuk a Matousec kutatását. A valós idejű védelmünk úgy tűnik, hogy nem érintett az elérhető információk alapján. Folytatjuk a kutatást" - olvasható a Microsoft biztonsági szakértőinek Twitter bejegyzésében. Azaz a jelek szerint a ForeFront és a Security Essentials nem érintett. Utóbbiak védtelensége mulatságos is lenne, ha pont a redmondi szoftvercég nem tudná megfelelően implementálni szoftvereit.
A kutatók elmondása alapján egyébként több antivírus gyártó már jelezte, hogy megoldásának következő verziójában már nem fogják alkalmazni az SSDT kampókat, így remélhetőleg a biztonsági rés még azelőtt okafogyottá válik, hogy megjelennének az első hibára utazó vírusok.
