Η τσεχική εταιρεία κατασκευής antivirus προγραμμάτων Avast πήρε μια δραστική απόφαση. Να απενεργοποιήσει ένα σημαντικό στοιχείο του antivirus προϊόντος του, μετά την ανακάλυψη μιας επικίνδυνης ευπάθειας, που θέτει σε κίνδυνο όλους τους χρήστες της εταιρείας.
Η ευπάθεια εντοπίστηκε στο JavaScript engine της Avast, ένα εσωτερικό στοιχείο του Avast antivirus που αναλύει JavaScript κώδικα για τον εντοπισμό malware, προτού επιτραπεί η εκτέλεσή του στο browser ή στα email clients.
“Παρά το γεγονός ότι επεξεργάζεται μη αξιόπιστες εισροές, είναι unsandboxed”, δήλωσε ο Tavis Ormandy, ερευνητής ασφάλειας στη Google.
“Οποιεσδήποτε ευπάθειες σε αυτή τη διαδικασία είναι κρίσιμες και μπορούν να χρησιμοποιηθούν από απομακρυσμένους εισβολείς”, δήλωσε ο Ormandy τη Δευτέρα, όταν κυκλοφόρησε ένα εργαλείο, που χρησιμοποίησε για να αναλύσει το antivirus της εταιρείας.
Η εκμετάλλευση της ευπάθειας ήταν εύκολη διαδικασία
Η εκμετάλλευση αυτής της ευπάθειας είναι πολύ απλή. Το μόνο που χρειάζεται είναι η αποστολή ενός κακόβουλου αρχείου JS ή WSH σε ένα χρήστη μέσω email ή εξαπάτηση ενός χρήστη ώστε να ανοίξει ένα αρχείο με κακόβουλο κώδικα JavaScript.
Σύμφωνα με τον Ormandy, από τη στιγμή που το Avast antivirus θα κατεβάσει και θα εκτελέσει τον κακόβουλο κώδικα JavaScript μέσα στο δικό του custom engine, θα αρχίσουν να εκτελούνται κακόβουλες λειτουργίες στον υπολογιστή του θύματος, ενώ ο απομακρυσμένος εισβολέας θα αποκτήσει πλήρη πρόσβαση στο σύστημα.
Για παράδειγμα, η εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να εγκαταστήσει κακόβουλο λογισμικό στη συσκευή ενός χρήστη του Avast antivirus.
Η Avast έμαθε για την ευπάθεια πρόσφατα
Η Avast ενημερώθηκε για την ευπάθεια σχεδόν μια εβδομάδα πριν. Ωστόσο, η εταιρεία δεν έχει κυκλοφορήσει ακόμα κάποιο patch για τη διόρθωση του σφάλματος. Αυτό που έκανε ήταν να απενεργοποιήσει τις ικανότητες ανίχνευσης JavaScript στο antivirus, μέχρι να ετοιμαστεί το patch.
Η τσεχική εταιρεία έκανε την εξής δήλωση:
“Την περασμένη Τετάρτη, 4 Μαρτίου, ο ερευνητής της Google Tavis Ormandy ανέφερε ότι υπάρχει κάποια ευπάθεια σε εμάς. Η ευπάθεια θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για την εκτέλεση κακόβουλου κώδικα απομακρυσμένα. Στις 9 Μαρτίου κυκλοφόρησε ένα εργαλείο για την απλούστευση της ανάλυσης της ευπάθειας”.
Σύμφωνα με την Avast, πάρθηκαν κάποια μέτρα για το μετριασμό του κινδύνου, ώστε να μην επηρεαστούν οι εκατομμύρια χρήστες της εταιρείας και να μείνουν προστατευμένοι από πιθανές επιθέσεις. Η εταιρεία πιστεύει ότι η λειτουργικότητα του antivirus προϊόντος της δεν θα επηρεαστεί, αφού βασίζεται σε πολλαπλά επίπεδα ασφαλείας.
Δεν έχει ανακοινωθεί ακόμα η ημερομηνία κυκλοφορίας του patch.
