Derfor er sårbarheter i antivirus ekstra ille

Sikkerhetsspesialist mener programvaren må designes på nytt.

Sikkerhetsforsker advarer om at antivirus-produkter med sårbarheter som er enkle å utnytte, kan gjøre brukerens pc spesielt utsatt for angrep.
Sikkerhetsforsker advarer om at antivirus-produkter med sårbarheter som er enkle å utnytte, kan gjøre brukerens pc spesielt utsatt for angrep. Bilde: Jan Miks / Alamy/All Over Press
Harald BrombachHarald BrombachNyhetsleder
24. sep. 2015 - 09:31

Saken er oppdatert klokken 13.05 med en uttalelse og noen flere detaljer fra Kaspersky Lab.

Svært mange installerer antivirus-produkter eller annen sikkerhetsprogramvare for å beskytte enheten mot skadevare. Men de færreste tenker kanskje på at sikkerhetsprogramvaren i seg selv kan utgjøre en stor risiko. Ikke fordi den er ondsinnet, men fordi den kan gjøre så stor skade dersom den inneholder sårbarheter og svakheter som kan utnyttes av ondsinnede.

Leste du denne? AVG skal selge søke- og nettleserhistorikken din 

Sårbarheter

Sikkerhetsforskeren Tavis Ormandy, som er tilknyttet sårbarhetsprosjektet Project Zero hos Google, har i det siste avslørt sårbarheter i antivirus-produkter fra flere leverandører.

I går kom han med et blogginnlegg hvor han omtaler noen av de flere titalls sårbarhetene han har funnet i Kaspersky Antivirus. Selskapet har blitt varslet om dette og har fjernet flere sårbarheter, men det er også flere som gjenstår.

Ormandy påpeker at noen av de mest alvorlige sårbarhetene som ble funnet, har vært svært enkle å utnytte på grunn av måten antivirus-programmer fungerer på.

Kaspersky avviser anklager: – Villedet konkurrenter med falsk skadevare 

Design-problem

– Fordi antivirus-produkter typisk avskjærer filsystem og nettverkstrafikk, kan det å besøke en webside eller å motta en e-post være tilstrekkelig for utnyttelse. Det er ikke nødvendig å åpne eller lese e-posten, siden filsystemets I/O [input/output-kommandoer, journ. anm] i forbindelse med mottaket av e-posten, er nok til å utløse tilstanden som kan utløses, skriver Ormandy.

Mens det meste av programvare man installerer i for eksempel Windows, har forholdsvis begrensede privilegier, gjelder ikke dette antivirus-programmene. De må ha økte privilegier for nettopp å kunne fange opp alt som skjer på maskinen.

Men ifølge Ormandy er dette langt fra tilfellet for alle deler av disse produktene.

Les mer om Project Zero: Google etablerer team av elitehackere 

Lavere privilegier

– I framtiden vil vi helst se at utpakkerne, emulatorene og parserne til antivirusproduktene blir satt i sandkasse, og ikke blir kjørt med SYSTEM-privilegier, skriver Ormandy. Han nevner som eksempel at Chromium Sandbox tilbys som åpen kildekode og allerede brukes av flere større produkter, ikke bare i nettleseren Chrome.

– Ikke vent på at et nettverksorm sikter mot produktet deres, eller på rettede angrep mot brukerne deres. Legg sandkasse-kjøring inn på utviklingsveikartet deres i dag, er Ormandys oppfordring til antivirus-leverandørene.

– Vi har sterke beviser for at det finnes en aktiv svartebørs for handel av antivirus-angrepskode. Forskning viser at dette er en enkelt tilgjengelig angrepsflate som dramatisk øker eksponeringen for rettede angrep, skriver han.

Ormandy berømmer for øvrig Kaspersky Lab for å ha reagert svært raskt på henvendelsene om de nevnte sårbarhetene.

Kaspersky Lab sier i en uttalelse som digi.no har mottatt, at selskapet ønsker å forsikre kundene om at sårbarhetene som har blitt offentliggjort i blogginnlegget til Ormandy, allerede har blitt fjernet fra alle berørte Kaspersky Lab-produkter og -løsninger. Selskapets spesialister har ikke sett noe bevis på at sårbarhetene har blitt utnyttet i faktiske angrep.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

De første sårbarhetene skal ha blitt fjernet innen 24 timer etter at selskapet fikk vite om dem. Den hittil siste sikkerhetsfiksen for disse sårbarhetene kom den 13. september. To dager senere rullet selskapet ut en oppdatering som inneholder en beskyttelsesmekanisme mot overflyt i stacken. Mekanismen kalles for /GS i Ormandys blogginnlegg.

Les gjerne også: Skulle knekke Tor. Mislyktes fullstendig 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.