Исследователи из компании EnSilo обнаружили шесть серьезных проблем с безопасностью в 15 антивирусных решениях от AVG, “Лаборатория Касперского”, McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security. Все проблемы связаны с методами перехвата вызовов других процессов, используемыми антивирусами средствами виртуализации.
Уди Яво (Udi Yavo) и Томмер Биттон (Tommer Bitton) обнаружили уязвимости в процессе изучения вопроса, каким образом производители ПО используют технологию перехвата (hooking) для внедрения кода с целью перехвата, мониторинга и модификации системных вызовов. По словам исследователей, большая часть уязвимостей позволяет атакующим с легкостью обойти защиту от эксплоитов в Windows или сторонних приложениях и проэксплуатировать проблемы, которые в иных случаях могут быть труднодоступны или вовсе недоступны. Некоторые уязвимости позволяют злоумышленнику внедрить вредоносный код в любой процесс, запущенный на системе.
Метод перехвата используется антивирусами для отслеживания потенциально вредоносного поведения. Кроме того, hooking применяется для защиты от эксплоитов, виртуализации, мониторинга производительности и сэндбоксинга. Некоторые вредоносные программы используют перехват для осуществления MitB-атак.
Исследователи проинформировали о проблеме вышеуказанных производителей антивирусных решений. Некоторые из них уже выпустили соответствующие патчи. Более подробный доклад по данной теме эксперты представят на конференции Black Hat, которая пройдет в августе нынешнего года. (EnSilo/NovostIT)