Thông thường, các chương trình chống virus cung cấp một lớp bảo vệ cần thiết, tuy nhiên một nhà nghiên cứu cảnh báo rằng các tổ chức nên kiểm tra các sản phẩm này trước khi triển khai trên hệ thống của mình vì nhiều chương trình chống virus dính lỗ hổng nghiêm trọng.
Theo Joxean Koret, một nhà nghiên cứu tại hãng bảo mật COSEINC Singapore trình bày phát hiện của mình tại hội nghị an ninh SysScan 360 hồi đầu tháng này, các chương trình chống virus thường bị tấn công khi đang cố gắng để bảo vệ các ứng dụng. Khi đó, chương trình để lộ lỗ hổng dễ bị tấn công và có thể làm cho máy tính dễ bị tổn thương hơn. Koret đã phân tích các sản phẩm chống virus và tuyên bố đã tìm thấy hàng chục lỗi có thể khai thác từ xa và tại chỗ. Các lỗ hổng có thể bị tấn công từ chối dịch vụ, lỗ hổng cho phép kẻ tấn công chiếm quyền điều khiển hệ thống hoặc để thực thi mã lệnh. Một số lỗi nằm ở phần lõi chống virus và một số trong các thành phần khác của sản phẩm.
Một số phần mềm chống virus (Ảnh minh họa từ Internet)
"Khai thác phần lõi chống virus giống như việc khai thác các ứng dụng phía máy khách", Koret cho biết trong slide thuyết trình. Chúng không sử dụng bất kỳ công nghệ tự bảo vệ đặc biệt mà chỉ dựa vào công nghệ chống khai thác trong hệ điều hành như ASLR (address space layout randomization) và DEP (Data Execution Prevention) và đôi khi chúng thậm chí vô hiệu hóa các tính năng này.
Kỹ thuật ASLR (Ảnh minh họa từ Internet)
Bởi vì phần lõi chống virus thường hoạt động với quyền cao nhất có thể, khai thác lỗ hổng loại đó sẽ cho những kẻ tấn công quyền truy cập hệ thống, Koret nói. Khả năng tấn công vào các sản phẩm chống virus là rất lớn, bởi vì chúng phải hỗ trợ một danh sách dài các định dạng tập tin và bộ phân tích cú pháp định dạng tập tin thường có lỗi. Theo nhà nghiên cứu, một vấn đề khác là một số sản phẩm chống virus không ký số vào các bản cập nhật của họ và không sử dụng kết nối được mã hóa bằng HTTPS để tải về, việc này cho phép kẻ tấn công để chèn tập tin độc hại vào kênh truyền.
Giao thức HTTPS (Ảnh minh họa từ Internet)
Tại hội thảo SysScan, Koret tiết lộ một số lỗ hổng bảo mật và vấn đề an ninh khác, như thiếu sự bảo vệ ASLR cho một số thành phần trong các sản phẩm chống virus từ Panda Security, Bitdefender, Kaspersky Lab, ESET, Sophos, Comodo, AVG, IKARUS Security Software, Doctor Web, MicroWorld Technologies, BKAV, Fortinet, ClamAV. Ngoài ra các sản phẩm chống virus của Avira, Avast, F-Prot và F-Secure cũng được phát hiện có nhiều lỗ hổng.
Koret đã không thông báo những vấn đề đã tìm thấy cho các nhà cung cấp bị ảnh hưởng ởi vì ông nghĩ rằng các nhà cung cấp nên kiểm tra sản phẩm của mình và treo giải thưởng để thu hút các nhà nghiên cứu độc lập phát hiện lỗi. Một số kiến nghị của ông cho các nhà cung cấp bao gồm:
- Sử dụng ngôn ngữ lập trình "an toàn" hơn so với C và C ++.
- Không sử dụng các quyền cao nhất khi phân tích các gói dữ liệu mạng và các tập tin bởi vì "phân tích cú pháp tập tin được viết bằng C / C ++ là rất nguy hiểm".
- Thử nghiệm những mã nguy hiểm tiềm năng trong giả lập hay hộp cát.
- Sử dụng SSL và chữ ký số cho các bản cập nhật và loại bỏ mã cho các mối đe dọa rất cũ mà không được kiểm tra trong nhiều năm.
Nhà nghiên cứu cũng khẳng định rằng một số các lỗ hổng ông tìm thấy đã được một số nhà cung cấp sửa lỗi.
Theo CIO
Thêm bình luận