Os pesquisadores da Matousec disseram ter descoberto uma falha grave nas proteções antivírus oferecidas por trinta e cinco vendedores. A falha permite driblar completamente essas proteções e atacar o sistema. Empresas especializadas em segurança da tecnologia da informação solicitaram um posicionamento de alguns dos vendedores afetados.
As suas declarações e pensamentos estão abaixo.
A Kaspersky Labs analisou o documento e concluiu que a questão é apenas ligada a certas características dos produtos da empresa. O System Services Descriptor Table (SSDT) contém os endereços de todos os serviços do sistema operacional e é importante usar hooks SSDT para proporcionar uma melhor proteção. No entanto os produtos da Kaspersky Labs implementam não só hooks SSDT, mas uma ampla gama de tecnologias, incluindo secure sandboxing e outros métodos de restrição a atividades suspeitas em kernel mode. Esta investigação não é nova, este ataque foi mencionado pela primeira vez na década de 90 como um ataque teórico e ressurgiu em 2003. Desde então muita coisa mudou. Hoje, os produtos de segurança contém uma grande quantidade de diferentes camadas para proteger o sistema contra malwares desconhecidos. O que é importante perceber é que isso só poderia afetar nossos produtos quando se trata de um malware invisível, que não é bloqueado ou detectado por nossas tecnologias de analise heurística. Portanto, o impacto desta vulnerabilidade é limitada.
A McAfee está ciente do artigo escrito por pesquisadores da Matousec que descreve uma forma dos cyberatacantes ignorarem várias aplicações de segurança do Windows. Baseados em nossa revisão inicial da documentação publicada, acreditamos que este é um ataque complicado com vários fatores atenuantes que tornam improvável e inviável de ser executado num mundo real, não vemos um cenário de ataque generalizado. Por exemplo, para realizar o ataque seria necessário algum nível de acesso elevado no computador de destino, para o software de segurança dar permissões a execução do malware como o ataque descrito por Matousec.
A BitDefender afirmou que a Matousec descreveu um conjunto de circunstâncias muito específicas que precisam ser criadas para que este tipo de ataque seja bem sucedido. Uma delas é que o atacante já deve ser capaz de executar código executável de máquina do usuário. Nossa solução está focada em impedir os ataques iniciais. Dito isso, nós levamos a sério todas as vulnerabilidades potenciais, não importa o quão improvável, e estamos a dedicando recursos para garantir que isto não representa uma ameaça real aos nossos usuários.
A Sophos respondeu que a vulnerabilidade não tem um impacto sobre seus produtos. Embora possa ser interessante do ponto de vista teórico, é necessário que sua máquina seja infectada com o primeiro malware, caso em que todas as apostas estão fora. O objetivo é prevenir a infecção em primeiro lugar. Ele também tem requisitos de hardware, tais como a necessidade de múltiplos núcleos e espera certos comportamentos de proteção. Para executar o ataque em um único núcleo seria muito complicado e não vale a pena perseguir provável em comparação com outras vulnerabilidades que são mais fáceis de executar, com resultados semelhantes.
A Symantec está ciente da investigação da Matousec e informou que este é um teste muito específico que examina as técnicas do desvio potencial de qualquer solução de segurança que implementa o uso de hooks no kernel. Este é precisamente por isso que a Symantec adiciona várias camadas de segurança para os nossos produtos a fim de impedir o ataque do malware. Em particular, a tecnologia de prevenção de intrusão da Symantec é baseada em camadas adicionais de segurança que desempenham um grande papel no bloqueio destes tipos de ameaças. Estas camadas adicionais de defesa não foram analisadas no âmbito da pesquisa da Matousec.
A Sunbelt Software fez os seguintes comentários: A Matousec publicou um método possível ataque que poderia ser usado para pesquisar vulnerabilidades reais. Nossos produtos usam hooks SSDT somente para as versões antigas do Windows, para as versões mais recentes eles utilizam as APIs fornecidas pela Microsoft. Não usamos hooks SSDT para as versões de 64 bits do Windows por causa da tecnologia PatchGuard da Microsoft. Se qualquer um dos produtos dos fornecedores de segurança têm uma vulnerabilidade real a este método de ataque, é muito triste que a Matousec não use uma divulgação de forma responsável para dar tempo aos fornecedores para rever os seus produtos antes de divulgar publicamente esta informação e colocar todos em risco. A Matousec nos informou sobre o método de ataque e possível vulnerabilidade em 20 de abril e, em seguida no dia 05 de maio tornou públicas suas descobertas, o que não dá um tempo razoável para os fornecedores analisarem dezenas ou centenas de milhares de linhas de código para busca de possíveis vulnerabilidades. E pouco tempo para consertar, testar e implantar versões atualizadas de produtos de segurança. Isso é muito triste e muito irresponsável.
A ESET deu na minha singela opinião a melhor de todas as respostas, ela afirmou em alto e bom som, “não é exatamente uma ideia nova, exceto e aparentemente para o senhor David Matousec , ele é inovador apenas na sugestão um pouco enganadora que a vulnerabilidade é especifica para softwares antivírus, na realidade isso é realmente uma questão muito mais genérica”. Se uma ameaça de um malware específico fazer uso dela, o indústria de segurança em TI certamente já sabe de longa data como combater esse tipo de ameaça. Agora, a ideia tem atraído tanto a atenção do público que os próprios desenvolvedores se esqueceram de como é possível evitar ataques a qualquer software que possua drivers e use técnicas de kernel mode hook’s, mas que por interpretação inspirada nos truques e mágicas da Matousec afeta apenas softwares de segurança, uma distorção da verdade. Parece um pouco exagerado sugerir que as soluções de segurança mais populares de hoje simplesmente são vulneráveis devido a um problema conhecido de longa data, ou então é um plágio mal feito do original de 2003 => TOCTOU with NT System Service Hooking e TOCTOU with NT System Service Hooking Bug Demo.
Na verdade, o Sr. David Matousec só deu uma nova roupagem a uma velha conhecida falha que se tornou mais simples de ser executada em processadores dual core rodando sistemas de 32 bits , nada original esse sujeito que tem coragem de dizer que o Comodo é o melhor firewall do planeta, quando o mundo TI sabe que a Comodo é uma empresa de práticas comerciais altamente questionáveis, afinal não fui eu que vendi certificados de segurança para produtores de malwares, foram vocês?
Tecnologia, Utilidade Pública
Antivírus, BitDefender, ESET, Exploit, Kaspersky Labs, Matousec, McAfee, Sophos, Sunbelt Software, Symantec
