The Power of One e-book: Principais razões para escolher o HP BladeSystem
As organizações devem obter os seus produtos antivírus de segurança testado antes da implantação, porque a tecnologia em toda a linha perigosamente eleva superfícies de ataque, diz pesquisador COSEINC Joxean Koret.
COSEINC é um equipamento de segurança Cingapura que foi executado um olhar crítico sobre 17 grandes antivírus e produtos e encontraram vulnerabilidades locais e remotamente exploráveis perigosas em 14.
A análise de Koret também sugere que as empresas antivírus falhar, exigindo privilégios excessivamente extensos, não assinar as atualizações de produtos e entrega de pessoas com mais de HTTP insegura, executando o código de idade excessiva e não a realização de revisões de código fonte adequada e difusão.
O hall da vergonha incluído Avira, o BitDefender, o ESET e Panda e incluiu várias múltiplas vulnerabilidades remotas e locais, tanto posteriormente corrigido e permanecendo como zero-day.
Enquanto os antivírus principais eram em sua maioria construídos com a medida defensiva Address Space Layout aleatorização no lugar, muitas outras funções não estavam incluindo as interfaces de usuário e bibliotecas. Alguns dos principais produtos tinham desativado prevenção de execução de dados.
Mecanismos antivírus eram muitas vezes construído em C que levou a vulnerabilidades, como tampão e inteiros overflows, drivers do sistema operacional instalados que previstas escalada de privilégio local e apoiaram um rol de formatos de arquivo, resultando em erros dentro dos respectivos analisadores.
O mais capaz de um motor antivírus, mais avenidas que apresenta para atores maliciosos para invadir redes. Por esta razão, antivírus com capacidades adicionais devem ser isolados do resto da rede corporativa.
"Se o seu aplicativo é executado com os mais altos privilégios, instala os drivers do kernel, um filtro de pacotes e tenta lidar com qualquer coisa que seu computador pode fazer ... a superfície de ataque aumentou dramaticamente," Koret disse em uma apresentação na Syscan 360. (Slides aqui ).
"Os motores AV tornar o computador mais vulnerável com um grau variável de penalidade de desempenho [e] é tão vulnerável a ataques de dia zero como as aplicações que tenta proteger. [Ele] pode até mesmo diminuir o sistema operacional explorando atenuações.
"Algumas empresas de AV não dou af ** k sobre a segurança em seus produtos."
Os privilégios excessivos utilizados em antivírus foi uma benção para os atacantes, porque a exploração do software muitas vezes fornecidos raiz ou acesso ao nível do sistema, disse ele.
Vilões poderia tirar proveito da falta de ambas as atualizações sinal e entregá-lo usando HTTPS para lançar ataques man-in-the-middle contra usuários de antivírus "completamente possuir [sua] da máquina".
"Exploração de mecanismos antivírus não é diferente para explorar outras aplicações do lado do cliente. Eles não têm ou oferecem qualquer auto-proteção especial. Eles contam com os recursos do sistema operacional (ASLR / DEP) e nada mais e às vezes até mesmo desativar esses recursos . "
Alguns produtos antivírus foram mais sensíveis do que outros a divulgações de Koret, incluindo Avast que decorreu uma recompensa erro e pagou uma quantia não revelada para os bugs. Os maiores fornecedores não foram notificados como deveriam já estar a dedicar os seus recursos consideráveis para pesquisa de vulnerabilidades.
Koret recomenda empresas de antivírus executar código perigoso dentro de um emulador ou máquina virtual que tornaria pwnage mais difícil.
"Por que é mais difícil de explorar os navegadores do que os produtos de segurança?" ®
Nenhum comentário:
Postar um comentário