Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng trên các phần mềm AV có thể “mở cửa” cho tin tặc xâm nhập hệ thống
Các chuyên gia vừa thông báo về 6 lỗ hổng trên hơn chục sản phẩm phần mềm, trong đó có nhiều giải pháp an ninh. Các lỗ hổng này có thể bị tin tặc khai thác để xâm nhập hệ thống.
Vào cuối năm 2015, hãng enSilo cho biết phát hiện lỗ hổng nghiêm trọng trong các sản phẩm an ninh AVG, Intel Security và Kaspersky Lab. Các vấn đề liên quan tới cách thức các sản phẩm này phân bổ cho trang bộ nhớ các quyền Đọc, Viết, Thực thi tại một địa chỉ có thể dự đoán liên tục. Điều này cho phép tin tặc dễ dàng qua mặt các cơ chế bảo vệ.
Từ phát hiện ban đầu, các chuyên gia đã tiến hành phân tích chuyên sâu các công nghệ hooking và cách thức các hãng phần mềm sử dụng công nghệ này cho sản phẩm của mình.
Hooking là kỹ thuật được sử dụng để can thiệp các chức năng của hệ điều hành và các ứng dụng để giám sát hoặc thay đổi hành vi. Kỹ thuật này thường được các phần mềm ảo hóa và sản phẩm an ninh sử dụng. Đối với các ứng dụng an ninh, hooking thường được sử dụng để giám sát các hành vi độc hại trong hệ thống.
Các chuyên gia phát hiện ra rằng cách thức một số hãng triển khai hooking có thể cho phép tin tặc qua mặt các cơ chế bảo vệ mà hệ điều hành hoặc ứng dụng của bên thứ 3 áp dụng. Lợi dụng điều này, kẻ tấn công sẽ dễ dàng khai thác các lỗ hổng và xâm nhập hệ thống đích.
"Những lỗ hổng “tồi tệ” nhất cho phép tin tặc bám trụ trên máy tính của nạn nhân mà không bị phát hiện hoặc chèn đoạn đoạn mã vào bất kỳ tiến trình nào trong hệ thống”, các chuyên gia cho biết.
Có tất cả 6 lỗ hổng được phát hiện, ảnh hưởng đến hơn 15 sản phẩm, bao gồm cả các sản phẩm của AVG, Kaspersky, Intel Security, Microsoft, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft và Vera.
Trong số 3 công nghệ hooking được phát hiện chứa lỗ hổng có cả Microsoft Detours - gói phần mềm thương mại được hơn 100 hãng sử dụng. Lỗ hổng này được cho là tồn tại trên Detours ít nhất từ phiên bản 3. Điều này có nghĩa lỗ hổng không dưới 8 “năm tuổi”.
Vấn đề đã được thông báo tới các hãng bị ảnh hưởng trong 8 tháng qua. Tuy nhiên, các chuyên gia cho biết không phải tất cả các hãng đều đã có bản vá lỗi. Symantec khắc phục vấn đề vào tháng 3, Bitdefender vào tháng 1. Avast cho biết đã vá lỗi vào năm ngoái, chỉ một thời gian ngắn sau khi biết về lỗ hổng.
Microsoft cũng được thông báo về lỗ hổng trên Detours vào tháng 2 và dự kiến sẽ vá lỗ hổng vào tháng tới.
enSilo cho biết sẽ cung cấp thêm chi tiết về lỗ hổng Hội thảo Black Hat sẽ diễn ra ngày 3/8 tới.
Nguồn: SecurityWeek
Vào cuối năm 2015, hãng enSilo cho biết phát hiện lỗ hổng nghiêm trọng trong các sản phẩm an ninh AVG, Intel Security và Kaspersky Lab. Các vấn đề liên quan tới cách thức các sản phẩm này phân bổ cho trang bộ nhớ các quyền Đọc, Viết, Thực thi tại một địa chỉ có thể dự đoán liên tục. Điều này cho phép tin tặc dễ dàng qua mặt các cơ chế bảo vệ.
Từ phát hiện ban đầu, các chuyên gia đã tiến hành phân tích chuyên sâu các công nghệ hooking và cách thức các hãng phần mềm sử dụng công nghệ này cho sản phẩm của mình.
Hooking là kỹ thuật được sử dụng để can thiệp các chức năng của hệ điều hành và các ứng dụng để giám sát hoặc thay đổi hành vi. Kỹ thuật này thường được các phần mềm ảo hóa và sản phẩm an ninh sử dụng. Đối với các ứng dụng an ninh, hooking thường được sử dụng để giám sát các hành vi độc hại trong hệ thống.
Các chuyên gia phát hiện ra rằng cách thức một số hãng triển khai hooking có thể cho phép tin tặc qua mặt các cơ chế bảo vệ mà hệ điều hành hoặc ứng dụng của bên thứ 3 áp dụng. Lợi dụng điều này, kẻ tấn công sẽ dễ dàng khai thác các lỗ hổng và xâm nhập hệ thống đích.
"Những lỗ hổng “tồi tệ” nhất cho phép tin tặc bám trụ trên máy tính của nạn nhân mà không bị phát hiện hoặc chèn đoạn đoạn mã vào bất kỳ tiến trình nào trong hệ thống”, các chuyên gia cho biết.
Có tất cả 6 lỗ hổng được phát hiện, ảnh hưởng đến hơn 15 sản phẩm, bao gồm cả các sản phẩm của AVG, Kaspersky, Intel Security, Microsoft, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft và Vera.
Trong số 3 công nghệ hooking được phát hiện chứa lỗ hổng có cả Microsoft Detours - gói phần mềm thương mại được hơn 100 hãng sử dụng. Lỗ hổng này được cho là tồn tại trên Detours ít nhất từ phiên bản 3. Điều này có nghĩa lỗ hổng không dưới 8 “năm tuổi”.
Vấn đề đã được thông báo tới các hãng bị ảnh hưởng trong 8 tháng qua. Tuy nhiên, các chuyên gia cho biết không phải tất cả các hãng đều đã có bản vá lỗi. Symantec khắc phục vấn đề vào tháng 3, Bitdefender vào tháng 1. Avast cho biết đã vá lỗi vào năm ngoái, chỉ một thời gian ngắn sau khi biết về lỗ hổng.
Microsoft cũng được thông báo về lỗ hổng trên Detours vào tháng 2 và dự kiến sẽ vá lỗ hổng vào tháng tới.
enSilo cho biết sẽ cung cấp thêm chi tiết về lỗ hổng Hội thảo Black Hat sẽ diễn ra ngày 3/8 tới.
Nguồn: SecurityWeek