Gepubliceerd: Maandag 10 mei 2010
Auteur: Sander van der Meijs
Onderzoekers hebben een manier gevonden om vrijwel alle antivirus-software op Windows te omzeilen.
De methode is ontwikkeld door onderzoekers van Matousec en maakt misbruik van de manier (kernel mode hooks) waarop antivirussoftware aanhaakt op het Windows-systeem. Aanvallers moeten eerst onschuldige code aan de antivirus-software voeren. Die wordt doorgelaten, maar voordat die vervolgens wordt uitgevoerd, wordt die programmatuur verwisseld door kwaadaardige code.
Timing cruciaal
Succesvol gebruik van deze aanvalsmethode vereist wel goede timing voor die switch van onschuldige voor kwaadaardige code. De onderzoekers stellen echter dat dit geen groot probleem is doordat tegenwoordig vrijwel alle machines multicore processors hebben. De aanvalsmethode is dus toch vrij betrouwbaar, claimen de ontdekkers ervan.
Volgens het rapport over deze fundamentele aanvalsmethode zijn vrijwel alle Windows-systemen met antivirus kwetsbaar. De enige vereiste is dat de gebruikte securitysoftware SSDT-hooks moet gebruiken, maar dat is het geval bij vrijwel alle antiviruspakketten.
100 procent kwetsbaar
Maar liefst 100 procent van de door Matousec geteste producten is in ieder geval kwetsbaar. De onderzoekers hebben 35 producten bekeken, waaronder grote merken als McAfee, Trend Micro, AVG, BitDefender, G Data en Norton.
Het onderzoek is gedaan op Windows XP SP3 en Windows Vista SP1, beide draaiend op pc's met 32-bit processors. Volgens de onderzoekers zijn alle Windows-versies en uitvoeringen kwetsbaar, inclusief Windows 7 op 64-bit hardware.
Bron: WebWereld.nl