Tesztpad.hu - Hardver, mobil tesztek

Egyre több antivírus fejlesztőcég fejti ki véleményét azzal a nemrégen napvilágra került támadási módszerrel kapcsolatban, amely számos, széles körben használt vírusvédelmi alkalmazás esetében jelent kockázatot. A fenyegetettség veszélyességével kapcsolatban azonban igencsak megoszlanak a vélemények.

Napjainkban már korántsem számít szokatlan történésnek, amikor egy szoftverről kiderül, hogy azon egy biztonsági rés tátong, és kockázatot jelent az azt futtató számítógépekre, illetve az adatokra. Többnyire ugyancsak nem okoz különösebb meglepetést, amikor egy biztonsági alkalmazásról derül ki, hogy valamilyen úton-módon sebezhető. Azonban egy olyan hír, amely arról szól, hogy majdnem három tucatnyi víruskereső sérülékeny egy támadási módszerrel szemben, az már felkelti a világsajtó érdeklődését is. Az elmúlt napokban pontosan ez történt, hiszen a Matousec kutatói egy igencsak figyelemfelkeltő felfedezéssel álltak elő.

Célkeresztben a kernelkezelés

A Matousec szakértői által leleplezett támadási eljárás lényege, hogy az antivírus alkalmazások kernelkezelési sajátosságait igyekszik kihasználni. Az "argument-switch attack" néven emlegetett módszer lehetőséget biztosíthat a kártékony kódok számára, hogy az antivírus alkalmazások többsége által alkalmazott kernelműveleteket különféle károkozási célokra használják fel. Az úgynevezett kernel hook azért fontos a víruskeresők működése során, mivel többek között ezáltal képesek figyelni azokat a rendszerhívásokat, amelyeket akár rosszindulatú alkalmazások is kezdeményezhetnek. Összességében elmondható, hogy az "argument-switch attack" technika felhasználásával lehetősége nyílhat a vírusterjesztőknek arra, hogy megfelelő időzítés és kódolás révén zöld utat adjanak egy rosszindulatú programnak a víruskeresés során. A módszer kimutatása érdekében a kutatók összeállítottak egy olyan KHOBE (Kernel Hook Bypassing Engine) motort, amely egyszerűbbé tette az exploitok készítését, és ezzel lehetővé vált a piacon fellelhető védelmi alkalmazások gyorsabb tesztelése.

A biztonsági kutatók szerint az általuk publikált támadási módszer komoly veszélyeket tartogat. Azonban az antivírus fejlesztők véleménye igencsak megoszlik ebben a kérdésben, de az eddig megszólaló cégek mindegyike elismerte a probléma létezését. Az eddigi tesztek és vizsgálatok szerint a kockázatokkal a Windows XP SP3 és a 32 bites Vista SP1 operációs rendszerek esetében biztosan számolni kell, azonban elképzelhető, hogy egyéb Windows verziók kapcsán is tartogat még meglepetéseket a biztonsági rés.

Most pedig vegyük szemügyre, hogy az egyes biztonsági cégek miként vélekednek a Matousec felfedezéséről: