Ataque Pode Inutilizar AV’s
Um novo método para burlar a proteção dos softwares antivírus foi descoberto por uma empresa de segurança e pode ser usado contra a grande maioria dos antivírus disponíveis atualmente para Windows.
Descoberto pela empresa de segurança Matousec, o novo método faz uso da incapacidade que os sistemas multicore têm de monitorar efetivamente as threads em execução nos outros núcleos de processamento.
A ideia por trás do ataque é simples de descrever, mas sua execução é bem complexa: ao enviar um trecho de código “inocente” para ser verificado, é possível receber uma validação do antivírus; uma vez que o código foi validado para execução, existe um pequeno espaço onde é possível substituir o código “inocente” por um malware – que então é executado sem precisar ser verificado pelo antivírus.
De acordo com a equipe da Matousec, esta técnica – que se baseia no fato dos softwares antivírus utilizarem os hooks System Service Descriptor Table (SSDT) no Windows para ter acesso a certas partes do kernel do Windows* – foi bem sucedido em 100% dos produtos testados.
*O que a Microsoft justamente quis evitar com o Kernel Patch Protection (ou PacthGuard) nas versões 64 bits do Windows, mas as fabricantes de antivírus reclamaram ( http://en.wikipedia.org/wiki/Kernel_Patch_Protection ).
Entre os produtos testados estão alguns bem populares, incluindo o avast! AntiVirus, AVG, BitDefender, Kaspersky, McAfee, Norton, Sophos e ZoneAlarm. Um detalhe é que o Microsoft Security Essentials não está na lista porque a equipe ainda não teve tempo de testá-lo e não porque ele não é afetado.
A equipe da Matousec informou que o ataque pode ser efetivo quando executado em uma conta sem privilégios administrativos e ele afeta todas as versões do Windows (32 e 64 bits). O único fator limitante é a complexidade da técnica, que requer que uma grande quantidade de código esteja presente no sistema, o que torna difícil seu uso em ataques do tipo drive by.
Como prova de conceito, os pesquisadores da Matousec criaram um mecanismo para o desenvolvimento de exploits chamado Kernel HOok Bypassing Engine (ou KHOBE).
 |
|
|
|
Saiba mais sobre a descoberta da Matousec clicando aqui >> http://www.matousec.com/info/articles/k … ftware.php.
|
|
|
|
|
A lista com os 34 softwares antivírus testados pela Matousec pode ser vista abaixo:
|
|
|
|
Fonte: www.baboo.com.br/conteudo/modelos/Novo-ataque-pode-inutilizar-os-antivirus_a38779_z317.aspx
|
|
|
|
