מספר חבר’ה מ-Matousec פרסמו לאחרונה ידיעה תחת הכותרת המפוצצת:

Earthquake for Windows Desktop Security Software

את הידיעה הם פרסמו לאחר שמצאו מספר ממצאים מעניינים במספר רב מאוד של מוצרי אבטחת מידע

(בעיקר אנטי-וירוסים). רשימת המוצרים היא:

  • 3D EQSecure Professional Edition 4.2
  • avast! Internet Security 5.0.462
  • AVG Internet Security 9.0.791
  • Avira Premium Security Suite 10.0.0.536
  • BitDefender Total Security 2010 13.0.20.347
  • Blink Professional 4.6.1
  • CA Internet Security Suite Plus 2010 6.0.0.272
  • Comodo Internet Security Free 4.0.138377.779
  • DefenseWall Personal Firewall 3.00
  • Dr.Web Security Space Pro 6.0.0.03100
  • ESET Smart Security 4.2.35.3
  • F-Secure Internet Security 2010 10.00 build 246
  • G DATA TotalCare 2010
  • Kaspersky Internet Security 2010 9.0.0.736
  • KingSoft Personal Firewall 9 Plus 2009.05.07.70
  • Malware Defender 2.6.0
  • McAfee Total Protection 2010 10.0.580
  • Norman Security Suite PRO 8.0
  • Norton Internet Security 2010 17.5.0.127
  • Online Armor Premium 4.0.0.35
  • Online Solutions Security Suite 1.5.14905.0
  • Outpost Security Suite Pro 6.7.3.3063.452.0726
  • Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
  • Panda Internet Security 2010 15.01.00
  • PC Tools Firewall Plus 6.0.0.88
  • PrivateFirewall 7.0.20.37
  • Security Shield 2010 13.0.16.313
  • Sophos Endpoint Security and Control 9.0.5
  • Trend Micro Internet Security Pro 2010 17.50.1647.0000
  • Vba32 Personal 3.12.12.4
  • VIPRE Antivirus Premium 4.0.3272
  • VirusBuster Internet Security Suite 3.2
  • Webroot Internet Security Essentials 6.1.0.145
  • ZoneAlarm Extreme Security 9.1.507.000

ולפי דבריהם- עוד מספר רב מאוד של מוצרים פגיע למתקפה זאת.

Matousec מוכרים בעיקר בגלל העזרה והתמיכה בפרוייקטים כמו:

ועוד רבים.

אז מה בדיוק הם מצאו? הם מצאו שכלל המוצרים ברשימה, משתמשים במימוש לא נכון של פעולות Hooking (גם ב-User Mode וגם ב-Kernel Mode) למיניהן (בייחוד SSDT Hooks- ביצוע פעולת Hookingעל פונקציות מערכת הנמצאות ב-System Service Dispatch Table), אופן המימוש חושף את אותם המוצרים למתקפה הנקראת “Argument Switch Attack”. מתקפה אשר ביצוע מוצלח שלה מאפשר לתוכנה זדונית (מקומית) להתערב בתוצאותיה של חישוב או פעולה מסוימת ע”י ביצוע החלפה של הערכים המועברים בסופה של הפעולה. - מעין Men In The Middle על פעולות Hooking.

לדוגמה, תוכנה זדונית כגון וירוס או תולעת, אשר מזהה סריקה של תוכנת האנטי-וירוס המקומית, יכולה להתערב בתהליך הסריקה ולהזריק נתונים שקריים אשר יחזרו מפעולת ההשוואה בין החתימה הדיגיטלית שלה לבין מאגר החתימות של תוכנת האנטי-וירוס, וכך לגרום לאנטי-וירוס לא לזהות כי אכן מדובר בוירוס.

חשיפה זאת נובעת ברב המקרים מביצוע פעולות Hooking ובדיקות אבטחת מידע על נתונים (כגון מצביעים ו-Handles) אשר מגיעים מה-User Mode ולא עברו שום בדיקות אימות.

את המאמר המלא אשר פורסם אפשר לקרוא כאן: (מומלץ בחום!)

http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

בנוסף, מי שמעוניין לקרוא עוד על Hooking וכד’ יכול לקרוא את המאמר המצויין של Zerith: “Rootkits - דרכי פעולה וטכניקות בשימוש” - חלק א’ ו-חלק ב’ שפורסם בגליון השישי והשישי.