Έξι ευπάθειες στον τρόπο που ορισμένοι προμηθευτές λογισμικού χρησιμοποιούν την “code hooking” τεχνική εκθέτουν τα προϊόντα τους προς εκμετάλλευση από κακόβουλο λογισμικό που μπορεί να αξιοποιήσει αυτά τα κενά ασφαλείας για να παρακάμψει τους μετριασμούς ασφάλειας και να εκθέσει σε κίνδυνο στοχευμένες συσκευές.
Το Hooking είναι μια τεχνική κωδικοποίησης που επιτρέπει σε μια εφαρμογή να εμπλακεί στη διαδικασία μιας άλλης εφαρμογής. Πολλοί τύποι desktop εφαρμογών την επιτρέπουν και τη χρησιμοποιούν και ιδιαίτερα, τα προϊόντα ασφάλειας που πρέπει να παρακολουθούν άλλες εφαρμογές για κακόβουλη δραστηριότητα.
Η εταιρεία ασφαλείας enSilo ανακάλυψε ένα πρόβλημα με το πώς ένας μεγάλος αριθμός εφαρμογών λογισμικού χρησιμοποιεί την code hooking τεχνική, που αφήνει μια πόρτα ανοιχτή για εκμετάλλευση από κακόβουλους παράγοντες.
Η έρευνά τους προέρχεται από μια προηγούμενη έρευνα που αναγνώριζε τα προβλήματα στον τρόπο με τον οποίο τα AVG, McAfee και Kaspersky χειρίζονται το χώρο στη μνήμη του υπολογιστή.
Είναι κατά τη διάρκεια της εν λόγω έρευνας που η ομάδα της enSilo παρατήρησε τον προβληματικό τρόπο με τον οποίο οι μηχανισμοί antivirus συνδυάζονται με άλλες εφαρμογές και APIs συστήματος για την παρακολούθηση και τη σάρωση κακόβουλων δραστηριοτήτων.
Αργότερα, ανακάλυψαν ότι άλλου είδους εφαρμογές, όπως το virtualization και η παρακολούθηση επιδόσεων λογισμικού, είναι ευάλωτα στον ίδιο ζήτημα και μπορεί να αξιοποιηθεί από κάποιο κακόβουλο λογισμικό σε επιθέσεις που έχουν σκοπό να προσπεράσουν το λογισμικό ασφαλείας και τις OS-level malware mitigation τεχνικές.
Σύμφωνα με enSilo, οι παρακάτω εταιρείες έχουν ειδοποιηθεί και έχουν αρχίσει την επιδιόρθωση των προϊόντων τους: AVG, Kaspersky, McAfee, Symantec, BitDefender, Citrix XenDesktop, Webroot, Emsisoft, Vera και Avast.
Επιπλέον, κάθε εφαρμογή που χρησιμοποιεί το Microsoft Detours hooking engine επηρεάζεται επίσης. Αυτό περιλαμβάνει έναν τεράστιο κατάλογο προϊόντων πάνω από 100 ISVs (independent software vendors – ανεξάρτητους προμηθευτές λογισμικού), μαζί με το σύνολο σχεδόν των Microsoft προϊόντων, όπως είναι η οικογένεια του Office suite.
Το να γίνει patch όλων των εφαρμογών συνεπάγεται τον επανασυνδυασμό όλων των επηρεαζόμενων προϊόντων και των διανεμημένων νέων εκδόσεων, γεγονός που εξηγεί γιατί η enSilo περίμενε τόσο πολύ να δημοσιοποιήσει αυτά τα θέματα.
Η Microsoft έχει δηλώσει ότι θα ενημερώσει τις εφαρμογές της και την Detours engine στο August Patch Tuesday.
Εν τω μεταξύ, οι ερευνητές πρόκειται να παρουσιάσουν τα ευρήματά τους σε ένα συνέδριο για την Black Hat ασφάλεια φέτος, που έχει προγραμματιστεί να λάβει χώρα στο Λας Βέγκας στις αρχές του Αυγούστου. Μια πιο τεχνική εξήγηση μπορείτε να διαβάσετε εδώ, γραμμένη από τους Udi Yavo και Tomer Bitton της enSilo.
