Investigadores dicen que han ideado una forma de sobrepasar las
protecciones que hay en docenas de los antivirus de escritorio más
populares, incluyendo los que ofrecen McAfee, Trend Micro, AVG, y
BitDefender.
El método, desarrollado por investigadores de software de seguridad de matousec.com, funciona explotando los enganches del manejador de los programas anti-virus que están ocultos profundamente en el sistema operativo Windows. En esencia, funciona enviandoles un ejemplo de código benigno que pase sus chequeos de seguridad y entonces, antes de que se ejecute, reemplazarlo con la carga maliciosa.
La explotación debe estar bien sincronizada de modo que el código benigno no sea reemplazado ni muy pronto ni muy tarde. Pero para sistemas corriendo en procesadores de múltiples núcleos, el ataque de matousec de "reemplazo de argumento" es bastante confiable porque un hilo a menudo es incapaz de seguir el rastro de otros hilos que corren simultáneamente. Como resultado, la vasta mayoría de la protección contra malware que se ofrece para PC con Windows pueden ser engañadas para que permitan ejecutar código malicioso que en condiciones normales sería bloqueado.
Todo lo que se necesita es que el software AV use SSDT, o System Service Descriptor Table, enganches para modificar partes del núcleo del SO.
"Realizamos pruebas con [la mayoría de] los productos actuales de seguridad de escritorio par Windows," escriben los investigadores. "Los resultados puede ser resumidos en una oración: Si un producto usa enganches SSDT u otra clase de enganches en modo núcleo de nivel similar para implementar las características de seguridad este es vulnerable. En otras palabras, 100% de los productos probados resultaron vulnerables."
Los investigadores listaron 34 productos que dicen que fueron susceptibles al ataque, pero la lista fue limitada por la cantidad de tiempo que tuvieron para realizar las pruebas. "De otra manera, la lista sería interminable," dijeron.
La técnica funciona aun cuando Windows esté corriendo con una cuenta de privilegios limitados.
Sin embargo la explotación tiene sus limitaciones. Requiere de una gran cantidad de código a ser cargado en la maquina destino, haciéndolo poco práctico para ataques basados en shellcode o ataques que se basen en la velocidad y el sigilo. También puede ser llevado a cabo solo cuando un atacante ya tiene la capacidad de ejecutar un binario en la PC objetivo.
Todavía la técnica podría ser combinada con la explotación de otra pieza de software, por ejemplo, una versión vulnerable de Adobe Reader o la Máquina Virtual Java de Oracle para instalar malware sin levantar la sospecha de ningún software AV que esté usando la víctima.
"Un escenario realista: alguien usa McAfee u otro producto afectado para asegurar sus equipos de escritorio," le dijo H D Moore, CSO y Jefe de Arquitectura del proyecto Metasploit, a The Register en un mensaje instantáneo. "Un desarrollador de malware abusa esta condición de carrera para sobre pasar las llamadas de sistema de enganches, permitiendo que el malware se instale por si mismo y elimine a McAfee. En este caso, toda la 'protección' ofrecida por el producto básicamente es puesta en duda."
Un usuario sin privilegios administrativos podría usar el ataque para matar un AV que está instalado y funcionando, incluso cuando solo las cuentas administrador pueden hacer esto, dijo Charlie Miller, analista principal de seguridad de Independent Security Evaluators.
La investigación de Matousec.com está aquí.
Actualización de Segu-Info: Nos ha llamado la atención en Segu-info lo expuesto en este artículo y hemos descubierto que al parecer la investigación podría no tener nada nuevo, ni ser tan alarmante. El tema ha despertado algunas discusiones acerca de la seriedad de este trabajo de investigación según leemos en los Wilder Security Forums . Algunos exponen allí severas críticas al supuesto descubrimiento e incluso acusan de plagio a la investigación tal como se expone en un articulo (rar) de rootkit.com donde acusa a Matousec de querer ganar plata vendiendo la solución a un bug que se conoce hace mucho y sus detalles están públicos en la web. Además ESET ha publicado detalles técnicos de esta "catástrofe".
Traducción: Raúl Batista - Segu-Info
Autor: Dan Goodin
Fuente: The Register UK
__________________________________________
Tomado de: http://blog.segu-info.com.ar/2010/05/nuevo-ataque-sobrepasa-virtualmente.html
Se respetan derechos de autor.
El método, desarrollado por investigadores de software de seguridad de matousec.com, funciona explotando los enganches del manejador de los programas anti-virus que están ocultos profundamente en el sistema operativo Windows. En esencia, funciona enviandoles un ejemplo de código benigno que pase sus chequeos de seguridad y entonces, antes de que se ejecute, reemplazarlo con la carga maliciosa.
La explotación debe estar bien sincronizada de modo que el código benigno no sea reemplazado ni muy pronto ni muy tarde. Pero para sistemas corriendo en procesadores de múltiples núcleos, el ataque de matousec de "reemplazo de argumento" es bastante confiable porque un hilo a menudo es incapaz de seguir el rastro de otros hilos que corren simultáneamente. Como resultado, la vasta mayoría de la protección contra malware que se ofrece para PC con Windows pueden ser engañadas para que permitan ejecutar código malicioso que en condiciones normales sería bloqueado.
Todo lo que se necesita es que el software AV use SSDT, o System Service Descriptor Table, enganches para modificar partes del núcleo del SO.
"Realizamos pruebas con [la mayoría de] los productos actuales de seguridad de escritorio par Windows," escriben los investigadores. "Los resultados puede ser resumidos en una oración: Si un producto usa enganches SSDT u otra clase de enganches en modo núcleo de nivel similar para implementar las características de seguridad este es vulnerable. En otras palabras, 100% de los productos probados resultaron vulnerables."
Los investigadores listaron 34 productos que dicen que fueron susceptibles al ataque, pero la lista fue limitada por la cantidad de tiempo que tuvieron para realizar las pruebas. "De otra manera, la lista sería interminable," dijeron.
La técnica funciona aun cuando Windows esté corriendo con una cuenta de privilegios limitados.
Sin embargo la explotación tiene sus limitaciones. Requiere de una gran cantidad de código a ser cargado en la maquina destino, haciéndolo poco práctico para ataques basados en shellcode o ataques que se basen en la velocidad y el sigilo. También puede ser llevado a cabo solo cuando un atacante ya tiene la capacidad de ejecutar un binario en la PC objetivo.
Todavía la técnica podría ser combinada con la explotación de otra pieza de software, por ejemplo, una versión vulnerable de Adobe Reader o la Máquina Virtual Java de Oracle para instalar malware sin levantar la sospecha de ningún software AV que esté usando la víctima.
"Un escenario realista: alguien usa McAfee u otro producto afectado para asegurar sus equipos de escritorio," le dijo H D Moore, CSO y Jefe de Arquitectura del proyecto Metasploit, a The Register en un mensaje instantáneo. "Un desarrollador de malware abusa esta condición de carrera para sobre pasar las llamadas de sistema de enganches, permitiendo que el malware se instale por si mismo y elimine a McAfee. En este caso, toda la 'protección' ofrecida por el producto básicamente es puesta en duda."
Un usuario sin privilegios administrativos podría usar el ataque para matar un AV que está instalado y funcionando, incluso cuando solo las cuentas administrador pueden hacer esto, dijo Charlie Miller, analista principal de seguridad de Independent Security Evaluators.
La investigación de Matousec.com está aquí.
Actualización de Segu-Info: Nos ha llamado la atención en Segu-info lo expuesto en este artículo y hemos descubierto que al parecer la investigación podría no tener nada nuevo, ni ser tan alarmante. El tema ha despertado algunas discusiones acerca de la seriedad de este trabajo de investigación según leemos en los Wilder Security Forums . Algunos exponen allí severas críticas al supuesto descubrimiento e incluso acusan de plagio a la investigación tal como se expone en un articulo (rar) de rootkit.com donde acusa a Matousec de querer ganar plata vendiendo la solución a un bug que se conoce hace mucho y sus detalles están públicos en la web. Además ESET ha publicado detalles técnicos de esta "catástrofe".
Traducción: Raúl Batista - Segu-Info
Autor: Dan Goodin
Fuente: The Register UK
__________________________________________
Tomado de: http://blog.segu-info.com.ar/2010/05/nuevo-ataque-sobrepasa-virtualmente.html
Se respetan derechos de autor.