ESET устранила уязвимость сканера от эксплойта Remote Root

Перевод Comss.ru. По материалам Softpedia

Анализ эмулятора кода, доступного в продуктах ESET, показал, что компонент не является достаточно надежным и может быть взломан, что позволяет злоумышленнику получить полный контроль над системой с уязвимостью в ПО.

Эмулятор кода был интегрирован в решения ESET для предварительного запуска исполняемых файлов и скриптов перед тем, как пользователь откроет их, а также для мониторинга активности системы. Процесс осуществляется в изолированной среде, а значит, не должен влиять на реальную систему.

Собранные данные отправляются на эвристический анализатор, который определяет природу процессов: вредоносные или подозрительные с последующим созданием сигнатуры обнаружения.

Во время обычной проверки наблюдается ошибка

Тавис Орманди (Tavis Ormandy) из подразделения Project Zero компании Google обнаружил уязвимость в NOD32 Antivirus, но другие продукты также затронуты, включая версии потребительского ПО для Windows, OS X и Linux, а также версии Endpoint Security и Business Edition.

“Многие антивирусные продукты включают возможности эмуляции, которые предназначены для запуска распаковщиков до момента применения сигнатур. ESET NOD32 использует минифильтр или Kext (расширение ядра) для перехвата всех входных и выходных дисковых операций, которые затем анализируются и эмулируются при обнаружении исполняемого кода” - сообщил Орманди в отчете об уязвимости.

Дисковые операции могут быть вызваны различными способами, поэтому ненадежный код может пройти через диск при получении сообщений, файлов, изображений и других видов данных. Таким образом, необходимость надежного и правильного изолированного эмулятора кода в антивирусных продуктах очевидна.

Уязвимость может быть проэксплуатирована во время выполнения сканирования (в режиме реального времени, запланированная или ручная проверка).

Атака останется незамеченной

Орманди обнаружил уязвимость, проанализировал и создал эксплойт Remote Root за несколько дней, сообщив об успешной полной компрометации системы. В частности, операции чтения и изменения данных в системе могут проходить независимо от прав доступа, что распространяется также на установку программ, доступ к подключаемым и встроенным компонентам и регистрацию активности системы.

Для атаки не требуется взаимодействие с пользователем, и она не обнаруживается обычными способами, потому что операции ввода-вывода являются обычными действиями системы.

Исследователь прокомментировал: “В сетях Windows уязвимость дает возможность взломать и полностью контролировать процесс ekrn.exe, предоставляя среду для удаленных атак. На системах Mac и Linux уязвимость позволяет получить управление над процессом esets_daemon, после чего злоумышленник получает корневой доступ к системе ”.

Орманди сообщил об уязвимости в компанию ESET 18 июня. Вендор выпустил обновление для движка сканирования четырьмя днями позднее, сообщив технические детали об уязвимости и эксплойте.