Ένα θέμα ευπάθειας που επέτρεπε κατάχρηση από επιτιθέμενους, ανακαλύφθηκε και γρήγορα επιδιορθώθηκε στο πακέτο antivirus της Kaspersky Internet Security.
Ένα θέμα ευπάθειας που επέτρεπε σε χάκερ να μπερδεύουν την κυκλοφορία και να χρησιμοποιούν το προϊόν εντοπισμού ιών έναντι του χρήστη και του ίδιου του προϊόντος.
Ο ερευνητής ασφαλείας του Google Project Zero, Tavis Ormandy έχει μια σειρά επιτυχιών αυτές τις μέρες, βρίσκοντας τις ευπάθειες του zero-day στα ίδια antivirus της Kaspersky στις αρχές Σεπτεμβρίου, και στη συνέχεια μία ακόμα στο antivirus Avast μόλις την περασμένη εβδομάδα.
Τώρα έστρεψε την προσοχή του στο πακέτο Kaspersky Internet Security και πιο συγκεκριμένα στο Network Attack Blocker, ένα χαρακτηριστικό το οποίο προστατεύει τους υπολογιστές από κακόβουλα λογισμικά και άλλες επιθέσεις που βασίζονται στο διαδίκτυο ή ένα τοπικό δίκτυο για προπαγάνδα.
Σύμφωνα με την έρευνα του κ. Ormandy, το πρόβλημα είναι στην πραγματικότητα ένα ελάττωμα σχεδιασμού, στο Network Attack Blocker που είναι «ένα απλό φίλτρο με ένα σύστημα υπογραφής προτύπου που ταιριάζει σε αυτό.”
Αυτό σημαίνει ότι το συστατικό σαρώνει κάθε πακέτο δικτύου με τη σειρά του και δεν παρακολουθείτε αν το σύστημα από το οποίο προέρχεται έχει ήδη εκκαθαριστεί.
Το antivirus θα μπορούσε να έχει χρησιμοποιηθεί για να εμποδίσει αναβαθμίσεις των Windows
Αν ένα κακόβουλο πακέτο ανιχνεύεται προσπαθώντας να εισβάλει, το antivirus της Kaspersky απλά βάζει σε μαύρη λίστα τη διεύθυνση προέλευσης IP αυτού του πακέτου.
Όπως εξηγεί ο κ Ormandy, ένας εισβολέας θα μπορούσε να πλαστογραφήσει εύκολα ένα πακέτο δικτύου, και στη συνέχεια να ξεγελάσει το antivirus στον αποκλεισμό των υπηρεσιών, όπως το Windows Update, τους ίδιους τους διακομιστές ενημέρωσης της Kaspersky, ή οποιαδήποτε άλλα IPs τα οποία θα μπορούσαν να ακρωτηριάσουν τις άμυνες του υπολογιστή, επιτρέποντάς του να πραγματοποιήσει νέες επιθέσεις αργότερα.
Επιπλέον, επειδή το Network Attack Blocker δεν κατανοεί το ευρύτερο πλαίσιο (στρώμα εφαρμογής), το antivirus μπορεί επίσης να ξεγελαστεί στο να μπλοκάρει διευθύνσεις IP απλοποιώντας την ενσωμάτωση της υπογραφής ενός ιού σε μεταδεδομένα μιας εικόνας, ή μέσα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Η ευπάθεια εντοπίστηκε και αναφέρθηκε στην Kaspersky στις 11 Σεπτεμβρίου, και ο πωλητής της ασφάλειας που εκδίδεται μια διόρθωση στις 8 Οκτωβρίου
