High-Tech News: Novo método de ataque aos antivírus

m novo método para burlar a proteção dos softwares antivírus foi descoberto por uma empresa de segurança e pode ser usado contra a grande maioria dos antivírus disponíveis atualmente para Windows.

Descoberto pela empresa de segurança Matousec, o novo método faz uso da incapacidade que os sistemas multicore têm de monitorar efetivamente as threads em execução nos outros núcleos de processamento.

A ideia por trás do ataque é simples de descrever, mas sua execução é bem complexa: ao enviar um trecho de código “inocente” para ser verificado, é possível receber uma validação do antivírus; uma vez que o código foi validado para execução, existe um pequeno espaço onde é possível substituir o código “inocente” por um malware – que então é executado sem precisar ser verificado pelo antivírus.

anti virus 401x500 Alerta: Um Novo método de ataque pode deixar os  antivírus inúteis

De acordo com a equipe da Matousec, esta técnica – que se baseia no fato dos softwares antivírus utilizarem os hooks System Service Descriptor Table (SSDT) no Windows para ter acesso a certas partes do kernel do Windows* – foi bem sucedido em 100% dos produtos testados.

*O que a Microsoft justamente quis evitar com o Kernel Patch Protection (ou PacthGuard) nas versões 64 bits do Windows, mas as fabricantes de antivírus reclamaram (http://en.wikipedia.org/wiki/Kernel_Patch_Protection).

Entre os produtos testados estão alguns bem populares, incluindo o avast! AntiVirus, AVG, BitDefender, Kaspersky, McAfee, Norton, Sophos e ZoneAlarm. Um detalhe é que o Microsoft Security Essentials não está na lista porque a equipe ainda não teve tempo de testá-lo e não porque ele não é afetado.

A equipe da Matousec informou que o ataque pode ser efetivo quando executado em uma conta sem privilégios administrativos e ele afeta todas as versões do Windows (32 e 64 bits). O único fator limitante é a complexidade da técnica, que requer que uma grande quantidade de código esteja presente no sistema, o que torna difícil seu uso em ataques do tipo drive by.

Como prova de conceito, os pesquisadores da Matousec criaram um mecanismo para o desenvolvimento de exploits chamado Kernel HOok Bypassing Engine (ou KHOBE).

Saiba mais sobre a descoberta da Matousec clicando aqui.

A lista com os 34 softwares antivírus testados pela Matousec pode ser vista acima na tabela.

Fonte: InfoManiaco

Um comentário sobre “High-Tech News: Novo método de ataque aos antivírus

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s