Μια ανάλυση στο χαρακτηριστικό
code emulator που χρησιμοποιεί στα προϊόντα της ESET (εξομοιωτής κώδικα)
έδειξε ότι δεν ήταν αρκετά ισχυρό και ότι μπορεί να παραβιαστεί εύκολα,
επιτρέποντας σε έναν εισβολέα να πάρει τον πλήρη έλεγχο ενός συστήματος
που τρέχει την ευάλωτη λύση ασφαλείας.Το
code emulator έχει ενσωματωθεί στα προϊόντα προστασίας από ιούς της
εταιρείας και επιτρέπει την εκτέλεση αρχείων ή scipts πριν το....κάνει ο ίδιος ο χρήστης. Η διαδικασία αυτή συμβαίνει σε ένα απομονωμένο περιβάλλον και έτσι δεν μπορεί να επηρεαστεί το πραγματικό σύστημα.
Τα δεδομένα που συλλέγονται παρέχονται στον αναλυτή heuristic του λογισμικού, ο οποίος αποφασίζει αν η φύση τους δείχει κακόβουλο ή ύποπτο λογισμικό.
Ο ερευνητής Tavis Ormandy από το Google Project Zero ανακάλυψε την ευπάθεια στο NOD32 Antivirus, αλλά όπως αναφέρει επηρεάζονται και άλλα προϊόντα, σε όλες τις εκδόσεις (Windows, OS X και Linux), καθώς και οι εκδόσεις Endpoint και Business.
«Πολλά προϊόντα antivirus διαθέτουν δυνατότητες εξομοίωσης. Το ESET NOD32 χρησιμοποιεί ένα μικροφίλτρο ή kext (η ονομασία προέρχεται από το kernel extension ή επέκταση πυρήνα) για να παρακολουθήσει τα Disk I/O. » αναφέρει ο Ormandy.
Επειδή οι λειτουργίες στα Disk I/O μπορούν να προκληθούν με διάφορους τρόπους, μπορεί να περάσει στο δίσκο κακόβουλος κώδικας, από μηνύματα, αρχεία, εικόνες ή άλλο είδος δεδομένων. Εξ ου και η ανάγκη ενός ισχυρού και κατάλληλα απομονωμένου εξομοιωτή κώδικα σε λύσεις antivirus.
Ο Ormandy βρήκε το glitch, το ανέλυσε και δημιούργησε ένα....
Διαβάστε περισσότερα στο: www.iguru.gr
