By | November 16, 2017

חוקרי האבטחה נתקלו לאחרונה הוכחה חדשה של ניצול קונספט התוקפת תוכניות אנטי-וירוס. המכונה AVGater, ניצול מצא דרך להתפשר ההסגרים אנטי-וירוס כדי להשיג שליטה מלאה על המכשיר נגועים.

חוקר האבטחה שניסחו את הנושא היה פלוריאן בוגנר מוינה, אוסטריה. הוא מינה את ניצול AVGater כי, כדבריו, “כל פגיעות חדשה צריך לוגו ושם משלו”. על-פי בוגנר, AVGater פועלת על-ידי “מניפולציה תהליך השחזור של ההסגר וירוס.”

“ידי צמתי מדריך NTFS, תהליך השחזור AV ההסגר ניתן לטפל, כך הקבצים שבהסגר בעבר ניתן לכתוב מיקומי מערכת קבצים שרירותי.” – משותף בוגנר בבלוג שלו – “על-ידי שחזור הקובץ בעבר בהסגר, הרשאות מערכת של שירות מצב המשתמש של AV Windows לרעה, הספרייה זדוני ממוקמת בתיקיה שבו המשתמש מחובר כעת הוא לא ניתן לכתוב תחת נורמלי תנאים.”

בוגנר אמר כי הוא הודיע מיד Emsisoft קספרסקי, טרנד מיקרו, תוכנות אבטחה Ikarus, צ’ק פוינט, Malwarebytes של הנושא, יש להם כבר את כולם שפורסמו שתוקנה עבור המוצרים המושפעים שלהם. מאז החוקר לא הזכיר במפורש סימנטק וגם McAfee בפוסט בבלוג שלו, עד כה, וגם שני הספקים הגיבו לשאלות.

בוגנר ממליצה שמשתמשים יקפידו להשאיר את תוכנות האנטי וירוס שלהם מעודכן כדי למנוע מותקף על ידי AVGater. עם זאת, הוא גם הוסיף כי ישנן מגבלות כדי לנצל.

“ככל יכול AVGator רק לנצל אם המשתמש מורשה כדי לשחזר קבצים בהסגר בעבר, אני ממליץ על כולם בתוך בסביבה ארגונית כדי לחסום משתמשים רגילים משחזור האיומים שזוהה.” – כאמור בוגנר – “זה חכם בכל דרך”.

על-פי הילה זיו גופטה, מייסדו ומנהלו CTO של מערכות Virsec, יישום איום חברת תוכנה מבוסס בסן חוזה, קליפורניה, AVGater היא הוכחה כי התוקפים מצאו דרך נוספת המאפשרת להם לטפל “תהליכים לגיטימית להפעיל קוד זדוני או קבצי script.”

“זה גם עוד מסמר בארון הקבורה עבור פתרונות אנטי וירוס מבוסס החתימה המקובלת. אנחנו מכירים כבר הרבה זמן זה fileless , מנצל מבוססי זיכרון לטוס מתחת לרדאר של רוב המערכות AV, אבל עכשיו פורצי מחשבים יכולים להשתמש בכלי AV לבטל בעצם את עצמם. “ -גופטה אמר SearchSecurity – “האקרים הם רחמים, באופן בלתי נמנע ימצא דרכים חכם כדי לעקוף את אבטחה היקפית. הקרב יש לעבור מגן על התקינות של יישומים עבור תוכנות המנצלות לרעה את תהליך וזיכרון. “

Leave a Reply

Your email address will not be published. Required fields are marked *