Antivirus vulnerabili colpa del kernel di Windows ^{2 anni fa}

Una società di ricerca pubblica i dettagli di quello che a suo dire è un attacco da cui nessun antivirus sarebbe immune. La teoria è nota già da parecchi anni, ma in pratica. Molti, se non tutti gli antivirus attualmente in circolazione per sistemi Windows soffrirebbero di una vulnerabilità "storica" di notevole gravità, grazie alla quale un malware sufficientemente sofisticato potrebbe bypassare la scansione in tempo reale e prendere agilmente il controllo del sistema bersaglio. Lo denuncia Motusec, addolcendo la pillola con la constatazione della non banale difficoltà di implementazione richiesta dall'attacco.

Il baco, dice la società di ricerca, interessa tutti i software di sicurezza che sfruttano l'hooking nel kernel di Windows attraverso la System Service Descriptor Table (SSDT) per monitorare il comportamento del software in esecuzione. Sfruttando i ridottissimi tempi di risposta connessi alle operazioni di switch tra i processi, un eventuale agente patogeno progettato per sfruttare il baco potrebbe superare agilmente la protezione dell'antivirus e compiere ogni genere di azione malevola - installazione di un driver di periferica fittizio, chiamata di una funzione non documentata e quant'altro.

Il problema, come già detto, è noto da parecchio tempo e già 14 anni fa gli è stato affibbiata la definizione di bug time-of-check-to-time-of-use. Dei 34-35 software di sicurezza testati, sostiene Motusec, il 100 per cento è risultato vulnerabile inclusi nomi blasonati del settore come McAfee, BitDefender, F-Secure, Trend Micro, Kaspersky e Sophos.

mercoledì 12 maggio 2010di Alfonso Maruccia Commenti (39)Antivirus bucati? Si, da 14 anni
Una società di ricerca pubblica i dettagli di quello che a suo dire è un attacco da cui nessun antivirus sarebbe immune. La teoria è nota già da parecchi anni, ma in pratica...

Roma - Molti, se non tutti gli antivirus attualmente in circolazione per sistemi Windows soffrirebbero di una vulnerabilità "storica" di notevole gravità, grazie alla quale un malware sufficientemente sofisticato potrebbe bypassare la scansione in tempo reale e prendere agilmente il controllo del sistema bersaglio. Lo denuncia Motusec, addolcendo la pillola con la constatazione della non banale difficoltà di implementazione richiesta dall'attacco.

Il baco, dice la società di ricerca, interessa tutti i software di sicurezza che sfruttano l'hooking nel kernel di Windows attraverso la System Service Descriptor Table (SSDT) per monitorare il comportamento del software in esecuzione. Sfruttando i ridottissimi tempi di risposta connessi alle operazioni di switch tra i processi, un eventuale agente patogeno progettato per sfruttare il baco potrebbe superare agilmente la protezione dell'antivirus e compiere ogni genere di azione malevola - installazione di un driver di periferica fittizio, chiamata di una funzione non documentata e quant'altro.

Il problema, come già detto, è noto da parecchio tempo e già 14 anni fa gli è stato affibbiata la definizione di bug time-of-check-to-time-of-use. Dei 34-35 software di sicurezza testati, sostiene Motusec, il 100 per cento è risultato vulnerabile inclusi nomi blasonati del settore come McAfee, BitDefender, F-Secure, Trend Micro, Kaspersky e Sophos.
Le società interessate ammettono l'esistenza della vulnerabilità, e tuttavia tendono a ridimensionare l'allarme lanciato da Motusec per via delle problematiche connesse al suo sfruttamento. Per realizzare un exploit pienamente funzionante, infatti, un eventuale cracker o malware writer dovrebbe agire con pieni poteri di esecuzione di codice sulla macchina in locale.

Anche ipotizzando l'impiego di un secondo exploit per depositare il codice sul sistema, inoltre, la sensibilità delle operazioni di context switching (del passaggio cioè tra due processi attivi in memoria) richiede una temporizzazione estremamente precisa nell'esecuzione del payload, che si "rilassa" un po' nel caso delle CPU multi-core.

Più che a risolvere una vulnerabilità teorica risalente quasi a tre lustri fa, insomma, le società di sicurezza parrebbero interessate ad affrontare i problemi posti dalla quotidianità e dalle nuove applicazioni di computing rese possibili dall'evoluzione tecnologica. Ne è esempio perfetto la messa a punto della tecnologia HyperSafe, sistema che include una serie di accorgimenti pensati per inibire la possibile "fuga" di malware eseguito all'interno di una macchina virtuale e l'eventuale infezione a catena delle altre virtual machine presenti nello stesso sistema distribuito, sotto il controllo del medesimo hypervisor.

Alfonso Maruccia