Μια ανάλυση στο χαρακτηριστικό code emulator που χρησιμοποιεί στα προϊόντα της ESET (εξομοιωτής κώδικα) έδειξε ότι δεν ήταν αρκετά ισχυρό και ότι μπορεί να παραβιαστεί εύκολα, επιτρέποντας σε έναν εισβολέα να πάρει τον πλήρη έλεγχο ενός συστήματος που τρέχει την ευάλωτη λύση ασφαλείας.
Το code emulator έχει ενσωματωθεί στα προϊόντα προστασίας από ιούς της εταιρείας και επιτρέπει την εκτέλεση αρχείων ή scipts πριν το κάνει ο ίδιος ο χρήστης. Η διαδικασία αυτή συμβαίνει σε ένα απομονωμένο περιβάλλον και έτσι δεν μπορεί να επηρεαστεί το πραγματικό σύστημα.
Τα δεδομένα που συλλέγονται παρέχονται στον αναλυτή heuristic του λογισμικού, ο οποίος αποφασίζει αν η φύση τους δείχει κακόβουλο ή ύποπτο λογισμικό.
Ο ερευνητής Tavis Ormandy από το Google Project Zero ανακάλυψε την ευπάθεια στο NOD32Antivirus, αλλά όπως αναφέρει επηρεάζονται και άλλα προϊόντα, σε όλες τις εκδόσεις (Windows, OS X και Linux), καθώς και οι εκδόσεις Endpoint και Business.
«Πολλά προϊόντα antivirus διαθέτουν δυνατότητες εξομοίωσης. Το ESET NOD32 χρησιμοποιεί ένα μικροφίλτρο ή kext (η ονομασία προέρχεται από το kernel extension ή επέκταση πυρήνα) για να παρακολουθήσει τα Disk I/O. » αναφέρει ο Ormandy.
Επειδή οι λειτουργίες στα Disk I/O μπορούν να προκληθούν με διάφορους τρόπους, μπορεί να περάσει στο δίσκο κακόβουλος κώδικας, από μηνύματα, αρχεία, εικόνες ή άλλο είδος δεδομένων. Εξ ου και η ανάγκη ενός ισχυρού και κατάλληλα απομονωμένου εξομοιωτή κώδικα σε λύσεις antivirus.
Ο Ormandy βρήκε το glitch, το ανέλυσε και δημιούργησε ένα remote root exploit σε λίγες μέρες, αναφέροντας ότι μπορεί να επιτύχει πλήρη πρόσβαση στο σύστημα του θύματος.
Να αναφέρουμε όμως ότι ο Ormandy δήλωσε την ευπάθεια στην ESET στις 18 Ιουνίου και η εταιρεία διέθεσε άμεσα μια ενημερωμένη έκδοση για τον κινητήρα σάρωσης (μόλις 4 μέρες αργότερα).
Μπορείτε να βρείτε περισσότερες τεχνικές λεπτομέρειες για την ευπάθεια, μαζί το exploit στη σελίδα ανακοίνωσης του κενού ασφαλείας.
Πηγή: iguru
