Błędy w mechanizmach aktualizacji antywirusów

[alco]

Błędy w mechanizmach aktualizacji antywirusów mogą doprowadzić do pobierania złośliwego oprogramowania

Cała historia zaczyna się w 16 czerwca tego roku. Yonathan Klijnsma sprawdzając mechanizmy zabezpieczające Malwarebytes Anti-Malware i Anti-Exploit odkrył, jak bardzo łatwo przejąć kontrolę nad mechanizmem aktualizacji programów, dzięki któremu możliwe jest wymuszenie na programie antywirusowym pobranie złośliwego oprogramowania zamiast aktualizacji. Dwa tygodnie później, kiedy światło dzienne ujrzała wersja beta programu Malwarebytes Anti-Exploit Yonathan sprawdził, czy aby aplikacja ta nie zawiera tego samego błędu. Zawierała…Błędy zaraportował producentowi dla MBAM i A-E, odpowiednio 16 lipca i 19 sierpnia.

Zidentyfikowana luka w nomenklaturze CVE-2014-4936 dotyczyła programów dla użytkowników domowych Malwarebytes Anti-Malware 2.0.2 i wersji wcześniejszych oraz programu Malwarebytes Anti-Exploit 1.03 i wersji wcześniejszych. Wersje biznesowe produktów Malwarebytes nie zawierają(ły) tego błędu.

Według Klijnsma błąd dotyczył mechanizmu aktualizacji baz sygnatur i plików, które pobierane są otwartym i niezabezpieczonym protokołem HTTP, nie są też używane żadne zabezpieczania weryfikujące walidację ich poprawności. Pobrane aktualizacje przed uruchomieniem nie są sprawdzane, atakujący mógł więc podstawić własne pliki PE, a ich kod wykorzystać do uruchomienia się z pełnymi uprawnieniami administratora w systemie ofiary.

Oba programy (Malwarebytes Anti-Malware i Anti-Exploit ) były zaprojektowane w taki sposób, aby pobierać swoje aktualizacje z adresu data-cdn . mbamupdates . com, a więc z Malwarebytes Content Delivery Network (CDN). Aby wstrzyknąć swój złośliwy kod atakujący musiał przechwycić żądania DNS dla sieci CDN, mógł to osiągnąć za pomocą różnych metod, w tym modyfikując plik HOSTS lub przeprowadzając atak DHCP spoofing zmieniając DNS-y.

W eksperymencie, w którym maszyna atakującego postawiona była na Kali Linux a maszyna ofiary na Windows XP, Klijnsma do podstawienia własnych aktualizacji przeprowadził atak DHCP spoofing przekierowując żądania produktu Malwarebytes do podstawionego złośliwego serwera. Poprzez atak MITM badacz był w stanie pobrać przez oprogramowanie antywirusowe swój dowolny plik i uruchomić go bez przejmowania kontroli nad komputerem ofiary.

Firma Malwarebytes dodała nazwisko badacza do swojej galerii sław, czyli strony, gdzie publikuje prace niezależnych badaczy na rzecz bezpieczeństwa aplikacji otrzymując w ten sposób darmowe pentesty.

Czy luka kiedykolwiek została wykorzystana?

Zdaniem Malwarebytes nie:

Nie znaleziono żadnych dowodów, by zgłaszana luka została kiedykolwiek wykorzystana.

Ponadto Malwarebytes w wywiadzie dla SecurityWeek twierdzi, że:

"Ściśle współpracujemy z niezależnymi ekspertami i jesteśmy im wdzięczni na znalezione błędy i możliwość udoskonalania naszych produktów.”

Yonathan Klijnsma znany jest z analizy CryptoPHP - kampanii, w której atakujący wykorzysywali backdoora w popularnych CMS-ach Wordpress, Joomla, Drupala do infekowania serwerów internetowych.

Luki w MBAM zostały załatane w wersji 2.0.3, a więc 3 października, dla programu Anti-exploit błąd załatano 5 września z wersją 1.04.1.1012.

Opisywany przypadek nie jest odosobniony. W lipcu tego roku przeprowadzona przez Joxeana Koreta z COSEINC analiza kilkudziesięciu programów antywirusowych wskazała, że silniki tych producentów zawierają większą lub mniejszą liczbę błędów, które stwarzają zagrożenie dla bezpieczeństwa użytkowników. Badacz odkrył opisywany powyżej podobny błąd w większości programów antywirusowych!, które otrzymują aktualizacje za pośrednictwem protokołów HTTP. Skutkować to może atakiem man-in-the-middle, w efekcie którego zamiast dostarczać aktualizacji, haker może spowodować pobieranie złośliwego oprogramowania.

Żródło:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

"Tragedia". Czyli żaden problem ominąć całe oprogramowanie ochronne.

 

[ichito]

Coś mi nie pasuje z datami - historia zaczyna się ponoć 16 czerwca i już jest mowa o MBAE jako o produkcie Malwarebytes...ale ten program oficjalnie pod szyldem tej firmy ukazuje się dopiero 20 czerwca, a wcześniej był rozwijany jako samodzielny i niezależny projekt czyli ZeroVulnerabilityLabs ExploitShield autorstwa Pedro Bustamante człowieka związanego wcześniej z Panda Security. Więc albo autor notatki, którą cytujesz coś namieszał...albo namieszał Y. Klijnsma...albo jedna (lub obydwie) firmy udostępniły kod programu do pentestów. Tylko dlaczego już wtedy ja publikowali, skoro luki załatano dopiero kilka miesięcy później?
Poza tym mowa o wersji korporacyjnej...ale ta wersja, jak pamiętam, wyszła dopiero do wersji MBAE.
Należy mieć nadzieję, że faktycznie luki nie ujawniły się w realnym środowisku.

Na koniec...jeśli mówisz "oprogramowanie ochronne" masz na myśli tylko takie, które korzysta z sygnatur czyli aktualizowanych baz danych o szkodnikach, a to nie cale oprogramowanie Pozostaje to, które z sygnatur tak aktualizowanych nie korzysta

 

[alco]

Być może coś jest namieszane przez autora. Nie wiadomo też czy autor w ogóle jest zorientowany w temacie o którym piszesz. Albo celowe działanie w uniknięciu podania nazwiska człowieka o którym wspominasz.

czyli ZeroVulnerabilityLabs ExploitShield autorstwa Pedro Bustamante

Poza tym mowa o wersji korporacyjnej...ale ta wersja, jak pamiętam, wyszła dopiero do wersji MBAE.

To jeśli wersja korporacyjna posiada takie błędy, to jakie może posiadać wersja komercyjna.

Na koniec...jeśli mówisz "oprogramowanie ochronne" masz na myśli tylko takie, które korzysta z sygnatur czyli aktualizowanych baz danych o szkodnikach, a to nie cale oprogramowanie Pozostaje to, które z sygnatur tak aktualizowanych nie korzysta

Tak, tylko takie oprogramowanie mam na myśli. Chodziło mi o to że posiadając oprogramowanie korzystające z sygnatur np: w moim przypadku Eset, aktualizacja omija w locie całe oprogramowanie zabezpieczające. Czyli system automatycznie jest zainfekowany.

 

[Anonymous]

Chodziło mi o to że posiadając oprogramowanie korzystające z sygnatur np: w moim przypadku Eset, aktualizacja omija w locie całe oprogramowanie zabezpieczające. Czyli system automatycznie jest zainfekowany.

To kolejny dowód na to aby odesłać antyvirki na śmietnik.

 

[alco]

No właśnie pierwszy raz zacząłem poważnie się nad tym zastanawiać. Pozostają jeszcze antywirusy działające w chmurze,
te nie powinny z tym problemem mieć nic wspólnego.

 

[programexe]

i z czego wtedy korzytac Hornecie , czym sie bronić przed piszącymi virusy producentami AV, co do chmury - czy dysk tez chcesz miec w chmurze, co tak naprawde robia takie Av i co wysyłają, odbierają

 

[Anonymous]

Programexe-tłuczemy o tym od lat.HIPS-y,piaski i virtualizatorki.

 

[alco]

co do chmury - czy dysk tez chcesz miec w chmurze, co tak naprawde robia takie Av i co wysyłają, odbierają

W chmurze nie trzymam kompletnie nic. Co do antywirusów korzystających z chmury to rozwiązywały by problem aktualizacji sygnatur. Odnośnie zbierania danych, to myśle że mogą zbierać wszystko, a dalej handel. Nie chodzi tu tylko o programy działające w chmurze, te oparte na bazie sygnatur nie mają wcale mniejszego udziału w tej kwestii, jak by nie było to działają w tle będąc cały czas podłączone do internetu. Głównymi producentami oprogramowania AV zajmującymi się tym procederem na większą skale są: BitDefender, F- Secure, Trend micro, Kaspersky, Webroot, McAfee i Avast.

 

[OXYGEN THIEF]

co racja to racja, wszystko co skanuje dysk może teoretycznie wysyłać dane do producenta np: pod przykrywką danych statystycznych.

 

[Elvis]

Wysyłają, wysyłają i to sporo.
testy-programow-zabezpieczajacych-do-poczytania-f26/av-comparatives-data-transmission-in-internet-security-t19131.html

 

[OXYGEN THIEF]

ok, to dalej jakby nie patrzeć to taki program do defragmentacji dysków też teoretycznie może coś takiego robić bo przecież jak mieli dysk (defragmentuje) to ma dostęp do każdego pliku hej hej tralalala.

 

[Elvis]

Wiem, że O&O Defrag zawsze chciał się łączyć z netem i jak mu się zablokowało do niego dostęp to nie działał Nie wiem czy dalej tak jest.

 

[OXYGEN THIEF]

Pewnie "dane statystyczne" wysyłał

 

[alco]

Idąc kawałek dalej to nie zapominajmy o Microsoft, czyli: Windows, X-Box, Nokia itp. Nie pomijając Androida, Appla i całej reszty delikwentów. A jutro o połowe mniej wejść na forum i masowe likwidowanie kont.

A tak poważnie troche z innej beczki to trafiłem na ten temat szukając jakichkolwiek testów porównawczych: Hitman Pro Alert i Malwarebytes Anti-Exploit. Nie znalazłem nic. I z tąd moje pytanie: Jak te programy przetestować, czy wogóle działają i spełniają swoją role.
Pytając "jak" nie mam na myśli infekowania systemu, tylko sprawdzenie w rzeczywistości czy cokolwiek one są w stanie zablokować i czy działają poprawnie.
Oczywiście sprawdziłem oba, programami do tego przeznaczonymi: hmpalert-test i mbae-test. I tu się pojawiają moje obawy. Uruchomiłem wszystkie testy w hmpalert-test i żaden z posiadanych przeze mnie programów nawet nie jęknął, czyli: Hmpalert 2 i Mbae.
Idąc dalej, zainstalowałem Hmpalert 3 i ten kosi wszystko. Ale nie odzywa się podczas uruchamiania mbae-test.
A więc mam rozumieć że oba te testowe programy są ewidentnie zrobione tylko pod własne oprogramowanie ??
Dodam jeszcze że Malwarebytes AE też nie przechodził własnego testu póki nie odinstalowałem HPA 3.

Gdyby ktoś podrzucił pomysł jak to przetestować lub dał jakieś testy, było by miło.
Mam nadzieje że napisałem też w miare zrozumiale.

 

[wojtek758]

Powiem tak. Mam drugi stary komp (dosc mocny) i czasem jak pojawi sie jakis wyjatkowy syf z ciekawoscia go instaluje coby przekonac sie jak poradza sobie z nim mn. Malwarebytes Pro itp. Najwiekszą jazde mialem z cryptolockerem ktory po właczeniu ochrony nie zostal odrazu wychwycony przez MB. Podczas skanowania na rzadanie znalazl i usunol łącznie z restartem. Restart bez skanu (wlaczone uruchamianie MB ze startem windows) zakonczyl sie kleską. Blad lezy w konfiguracji. W ustawieniach odchaczyc "odłoz ochrone przy starcie na 15 sek."
W tej konfig. troche trwa ale system wstal bez szwanku. Nie chce mi sie szukac nazywy wirusa z ktorym zaden Av ani Am sobie nie poradzil (ani nie znalazl) obecnosc byla widoczna tylko w jeden sposob. Podmienial ciagi cyfr w pomieci prawokliku tzn. kopiuj wklej. Nie trudno sie w tym domyslec o co chodzi. Podmiana adresu dns to juz standard. Przy zachowaniu zdrowego rozsadku Malwarebytes Pro jest ok (moim zdaniem) Minus - wiekszosc zagrozen wykrywa tylko podczas pelnego skanu 1,5 - 2 godz.
MB nie "gryzie sie " nie tylko z HM 3 rowniez z emsisoft antymalware. Outpost z MB za to nie lubia sie wcale