Popularne antywirusy na celowniku badaczy: luk 0‑day w nich nie brakuje
Oprogramowanie antywirusowe powinno chronić przed zagrożeniami swoich użytkowników. Czasami zdarza się jednak, że same staje się ofiarą i okazują się podatne na różnego rodzaju ataki. W ostatnich dniach aż trzy popularne na tym rynku firmy otrzymały informacje o lukach w swoich aplikacjach i musiały je jak najszybciej załatać: Kaspersky, FireEye, a także Avira.
Pierwsza kwestia dotyczy luki 0-day w programach rosyjskiej firmy Kaspersky. Za jej odkryciem stoi Tavis Ormandy, który jest specjalistą od zabezpieczeń w firmie Google i który zasłynął już kilkukrotnie w ostatnich latach wykrywaniem dziur w Windowsie, Flashu, a także Javie. Na jego celowniku znalazły się także firmy Spohos i ESET, teraz przyszedł czas na antywirusa Kaspersky Anti-Virus w wersjach 15.x i 16.x – na swoim Twiterze pochwalił się, że przy domyślnej konfiguracji wystarczy zdalnie uruchamiany exploit, aby ominąć zabezpieczenia i zainfekować komputer. Wszystko to bez interakcji ze strony użytkownika, zagrożenie jest więc bardzo poważne.
Pomyślny atak umożliwia uzyskanie uprawnień systemowych, a co za tym idzie, całkowite przejęcie kontroli nad komputerem, wykradanie danych i działanie bez żadnych ograniczeń. Firma Kaspersky natychmiast zareagowała i już dzień później wydała aktualizację do swoich produktów. Jest mało prawdopodobne, że luka została wykorzystana przez kogoś innego niż Ormandy, tym bardziej że w tym przypadku o dziwo nie ujawniono szczegółów, jak miało to miejsce do tej pory. Wiadomo jednak, że chodziło o przepełnienie bufora, częsty błąd umożliwiający przejęcie kontroli. Użytkownicy powinni oczywiście jak najszybciej zaktualizować swoje oprogramowanie: antywirus zrobi to automatycznie, proces można jednak przyśpieszyć, wywołując aktualizację ręcznie.
Oprogramowaniem antywirusowym firmy FireEye wykorzystywanym w m.in. firmach zajął się Kristian Erik Hermansen, badacz z Los Angeles. Także i on odkrył dziurę 0-day, a dodatkowo trzy inne podatności. Najpoważniejsza umożliwia zdalny, nieautoryzowany dostęp do systemu plików przez wykorzystanie dziury w skrypcie PHP. Tutaj sprawa wygląda jednak zupełnie inaczej. Hermansen ogłosił przez Twittera, że sprzeda dokładne informacje o zagrożeniach… skąd taki radykalny krok, który może przecież pomóc cyberprzestępcom w wykonywaniu ataku? Wszystko za sprawą opieszałości FireEye. Odkrywca poinformował, że błędy zgłaszał już 18 miesięcy temu, a jak do tej pory firma go ignorowała i swojego oprogramowania nie załatała. Ma to być więc sposób na zwrócenie uwagi, a po ewentualnych udanych atakach, także odpowiedni motywator do zmiany podejścia.
Ostatnia z dziur dotyczy pakietu Avira Mobile Security dla systemu iOS i została odkryta przez Davida Coombera z Info-Sec.ca. Oprogramowanie to ma na celu m.in. pomóc w sytuacji, gdy urządzenie zostanie zagubione lub skradzione – umożliwia zdalne lokalizowanie go, blokowanie, wymazywanie danych i uruchamianie alarmu. Odkryty błąd polega na tym, iż informacje logowania do konta Avira przesyłane przez aplikację były transmitowane kanałem nieszyfrowanym (HTTP). Na dodatek do ich zabezpieczenia wykorzystano algorytm MD5, który już od kilku lat nie jest uznawany za bezpieczny. Atakujący może więc przejąć te dane i odciąć użytkownika od całej usługi, a także śledzić jego położenie. Lukę odkryto w połowie lipca, załatano dopiero w pierwszych dniach września.
Jak widać, twórcy oprogramowania antywirusowego nie mają łatwego życia. Chcą chronić innych użytkowników, a sami czasami potrzebują pomocy i w żadnym razie nie tworzą oprogramowania idealnego. Takie jednak nigdy nie powstanie, najważniejsze jest, aby w razie takich sytuacji reagować szybko i skutecznie: o ile Kaspersky i Avira wywiązały się ze swojego zadania, o tyle zachowanie FireEye skłania do przemyślenia swojego zaufania do tej firmy.
