Oude methode om gros av-suites te omzeilen duikt opnieuw op

Een beveiligingsonderzoeker claimt een nieuwe methode te hebben gevonden om vrijwel alle populaire antivirus-suites te omzeilen. De bedoelde aanval blijkt echter te herleiden tot een onderzoek uit 2003 en werd zelfs in 1996 al beschreven.

Beveiligingsonderzoeker David Matousec beschrijft hoe av-suites als die van McAfee, Norton, F-Secure, Kaspersky en Sophos kwetsbaar zijn voor een aanval, waarbij hij doet alsof de methode nieuw is. De aanval maakt gebruik van de System Service Descriptor Table. Dit is code die veel av-suites gebruiken om bij de kernel van een OS aan te haken, om delen daarvan te kunnen wijzigen.

Volgens de researcher is het mogelijk om naar av-programma's goedaardige code te sturen, die na verificatie wordt verwisseld door kwaadaardige. Op die manier kan malware een systeem worden binnengesmokkeld. De verwisselingstruc, door Matousec argument-switch genoemd, zou op een precies moment van verificatie moeten plaatsvinden. Ook zou voor een aanval relatief veel code moeten worden gebruikt en is de mogelijkheid om een binary uit te voeren op de aan te vallen computer vereist.

Beheerdersrechten zouden echter niet zijn vereist; ook onder een Windows-account met beperkte rechten zou het werken. Het toegenomen gebruik van multicore-cpu's zou de werking in de kaart spelen, vanwege de gelijktijdige verwerking van threads, schrijft The Register. Matousec schrijft dat niet het hele onderzoek online staat en dat het volledige document voor softwareleveranciers beschikbaar is.

Onder andere op het forum van Wilders Security is forse kritiek te lezen op de publicatie en wijze waarop Matousec er geld aan probeert te verdienen. De aanval zou inderdaad mogelijk zijn, maar is wel heel lastig uit te voeren. Volgens Andrey Sporaw is de theorie achter de methode al uitvoerig beschreven in een document uit 1996 van de Davis-universiteit van Californië. De aanval zou al jaren onder de naam time-of-check-to-time-of-use bekend zijn en Matousec zou zijn informatie hebben overgenomen van een Russische onderzoeker die zijn onderzoek in 2003 publiceerde.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-05-2010 12:53 21

10-05-2010 • 12:53

21

Lees meer

Bankrekening-plunderende Zeus-trojan keert verbeterd terug
Bankrekening-plunderende Zeus-trojan keert verbeterd terug Nieuws van 7 maart 2011
Nederlanders voorzien computer vaakst van beveiligingssoftware
Nederlanders voorzien computer vaakst van beveiligingssoftware Nieuws van 7 februari 2011
Illegale Avast-licentie wordt 774.651 keer gebruikt
Illegale Avast-licentie wordt 774.651 keer gebruikt Nieuws van 7 december 2010
Antivirusmaker beschuldigt Microsoft van oneerlijke concurrentie
Antivirusmaker beschuldigt Microsoft van oneerlijke concurrentie Nieuws van 6 november 2010
Onderzoeker: bugs in malware-kits geven kans op tegenaanval
Onderzoeker: bugs in malware-kits geven kans op tegenaanval Nieuws van 20 juni 2010
'Wormhole' in Symantec AntiVirus ontdekt
'Wormhole' in Symantec AntiVirus ontdekt Nieuws van 26 mei 2006
Symantec AntiVirus kwetsbaar voor gearchiveerde aanval
Symantec AntiVirus kwetsbaar voor gearchiveerde aanval Nieuws van 22 december 2005
Bug in Symantec AntiVirus maakt remote exploit mogelijk
Bug in Symantec AntiVirus maakt remote exploit mogelijk Nieuws van 6 oktober 2005
Anti-virusmaker zelf geïnfecteerd door worm
Anti-virusmaker zelf geïnfecteerd door worm Nieuws van 9 november 2002
Meer producten en artikelen
Software Antivirus Beveiliging

Reacties (21)

-Moderatie-faq
21
21
15
3
0
0
Wijzig sortering
woekele 10 mei 2010 12:56
Die man vraagt dus geld om details vrij te geven over een exploit die in 1996 al uitgebreid gedocumenteerd is. Beetje gemeen.

Maar wat misschien wel interessanter is: als deze exploit al zo lang bekend is, waarom zijn zoveel av-applicates er dan nog kwetsbaar voor?
djexplo @woekele10 mei 2010 13:15
Het opsporen van sommige situaties voor dat een programma word uitgevoerd is gewoon niet te doen.

Stel je wilt checken of software de startpagina "registery key" van IE wijzigt.
Als deze key er als string instaat vind de AV software hem zo terug. Maar als je die string decodeert met een eigen algoritme, zou de AV software het hele programma moeten emuleren om de string te vinden. Als je dan ook nog verschillende threads gebruikt waarbij er een super kleine kans bestaat dat ze gelijktijdig naar een variabele schrijven waardoor er een willekeurig resultaat ontstaat is het ondoenbaar.

De beste manier van AV bescherming zou dus het opvangen van alle API calls zijn die een programma doet. Maar dat zou enorm veel CPU tijd kosten.
HMS @woekele10 mei 2010 12:58
Waarschijnlijk omdat zoals in te lezen is, de aanval heel moeilijk uit te voeren is en dus waarschijnlijk niet vaak voorkomt. Daarom zal er waarschijnlijk geen budget / prioriteit voor zijn ;).
woekele @HMS10 mei 2010 13:09
Het is dan dus afwachten tot er een virus komt die de exploit wél succesvol weet te gebruiken. Misschien wordt die kans wel steeds groter, omdat er steeds meer multi-core machines komen. Vervolgens staan allerlei av-bedrijven met de mond vol tanden. Updaten zal dan ook niet zo makkelijk/snel gaan, aangezien het gaat om aanpassingen in de core van het detectie-systeem.

Maar goed, misschien komt dat virus er wel niet, omdat het té moeilijk is :)

[Reactie gewijzigd door woekele op 23 juli 2024 06:46]

Dannisi @woekele10 mei 2010 14:18
Als je het bericht had gelezen, had je gezien dat het juist lastiger wordt met multicore CPU's, omdat die meerdere taken tegelijk uitvoeren.
RZNR @Dannisi10 mei 2010 14:41
Ik zie alleen staan:
Het toegenomen gebruik van multicore-cpu's zou de werking in de kaart spelen, vanwege de gelijktijdige verwerking van threads, schrijft The Register.
Mischien moet jij het bericht eens goed lezen?
webcrtor @RZNR10 mei 2010 18:29
Ik wil mij niet moeien maar in de kaart spelen betekent volgens mij dat het het makkelijker maakt :p
bitflusher @webcrtor10 mei 2010 21:18
http://www.dbnl.org/tekst...stoe002nede01_01_1056.php
iemand in de kaart spelen, d.w.z. iemand helpen, naar zijn wensch doen
om de discussie over wat "in de kaart spelen" meteen te beeindingen.
JeroenKooger @Dannisi10 mei 2010 14:39
Het toegenomen gebruik van multicore-cpu's zou de werking in de kaart spelen, vanwege de gelijktijdige verwerking van threads

Het artikel geeft toch echt aan dat het door gebruik van multi-core CPU's makkelijker wordt, omdat deze meerdere threads tegelijk kunnen verwerken. Op die manier is het precieze moment van verificatie waarin het moet plaatsvinden makkelijker te vinden.
kemphaas @woekele10 mei 2010 13:01
Een "lockpicker" kan ook jouw huis binnenlopen als je hem een dag aan je slot laat knutselen. Dit zou alleen wel opvallen, dus daarom beveiligt niemand zijn huis tegen lockpickers.
OpenMinded @kemphaas10 mei 2010 14:55
jawel, er zijn elektronische kaarten als slot.
Ook die kun je digitaal lockpicken, maar dat vereist andere 'tools'
densoN 10 mei 2010 13:01
Wat nou als deze persoon onbewust het wiel opnieuw heeft uitgevonden? Ik kan me n.l. niet voorstellen dat software leveranciers hier niet van op de hoogte zijn als het over zo'n (voor ict begrippen) extreem oude exploit gaat.
R4gnax @densoN10 mei 2010 13:11
Onderzoekers, zeker van wetenschappelijke aard, controleren gewoonlijk op eerder werk en dragen zorg voor een correcte, complete bronvermelding. Dat deze publicatie op zo'n manier afgebrand wordt is dus eigenlijk niet veel bijzonders.

Dat deze aanval nog steeds niet voorkomen is zul je eerder in de OS kernel moeten zoeken dan in de av-suites. Er zit tijd tussen time-to-check en time-to-use omdat beiden aparte services zijn die via de kernel niet als één atomaire actie draaien.

Het is dus een race-condition. Vandaar dan ook dat multi-core machines, met echte concurrency i.p.v. time-slicing door een scheduler, vele malen ontvankelijker zijn voor deze hack.

[Reactie gewijzigd door R4gnax op 23 juli 2024 06:46]

Baserk @densoN10 mei 2010 14:39
De stelling van David Matousec over de onbekendheid van deze bug bij security software bedrijven is dan ook slim geformuleerd;

TOCTTOU research was unknown to all security software vendors that we have been in contact with.

Had hij een paar andere bedrijven gecontacteerd, dan had hij deze uitspraak nooit kunnen doen.

Geswall dev. Andrey Kolishchak heeft al eerder over deze bug gepubliceerd en op een oude web pagina staat dan ook deze bug demo van hem.

Zoals hierboven door R4gnax vermeld, en ook op Wilders is geschreven, komt deze bug echt niet nu pas plotseling uit de hemel vallen en had accurate bronvermelding niet misstaan in het KHOBE rapport.

[Reactie gewijzigd door Baserk op 23 juli 2024 06:46]

Dreamvoid 10 mei 2010 13:27
De grote vraag is dan: is deze methode alleen op Windows te gebruiken of kan bv de ingebouwde scanner in Snow Leopard ook zo gefopt worden?
robvanwijk
10 mei 2010 16:25
Volgens de researcher is het mogelijk om naar av-programma's goedaardige code te sturen, die na verificatie wordt verwisseld door kwaadaardige. (..)
De verwisselingstruc, door Matousec argument-switch genoemd, zou op een precies moment van verificatie moeten plaatsvinden. Ook zou voor een aanval relatief veel code moeten worden gebruikt en is de mogelijkheid om een binary uit te voeren op de aan te vallen computer vereist.
Oftewel, we hebben drie stukken code:
  • IIets "goedaardigs". Maakt niet uit wat, want het wordt toch vervangen door iets anders. Niet interessant dus.
  • Iets "kwaadaardigs". Eén of ander virus, dat langs de virusscanner wordt gesmokkeld. Niet bijster interessant in deze context, het is "gewoon" een virus.
  • De code ("de mogelijkheid om een binary uit te voeren op de aan te vallen computer") die de daadwerkelijke switch uitvoert, dit is waar het hier uiteindelijk over gaat, dit is het "interessante" gedeelte.
Okee, dus er zit ergens een race-conditie in. Slordig, maar zoals ik het verhaal begrijp zit die race in het OS, niet in de AV, dus dat lijkt me dan ook niet de schuld van de AV-producenten. Bovendien is dit niet bepaald de enige fout / kwetsbaarheid in Windows (of in OSes in het algemeen??), dus zo heel opmerkelijk is het nou ook weer niet.
Code die van een of meerdere van die andere kwetsbaarheden gebruikmaakt noemen we een virus. Waarom zou meneer Matousec denken dat zijn switcher niet als virus bestempeld kan worden? Als je AV de switcher afschiet voor ie op kan starten (net zoals andere virussen afgeschoten worden), dan heb je het probleem opgelost zonder die raceconditie op te hoeven lossen.
OpenMinded 10 mei 2010 14:54
Alleen Windows is dus weer de pineut?
goh, wat heerlijk toch al die macs en ubuntu bakken :).
Anoniem: 356664 @OpenMinded10 mei 2010 15:18
Ubuntu betekent niet 100% veilig.
http://www.omgubuntu.co.u...reensaver-for-ubuntu.html

[Reactie gewijzigd door Anoniem: 356664 op 23 juli 2024 06:46]

kemphaas @Anoniem: 35666410 mei 2010 15:45
Hoewel ik geen die-hard linux gebruiker ben, betekent het voor mij genoeg dat je een link van ruim 8 maanden oud moet posten voor iets negatiefs over de beveiliging van linux. Bij windows vind je ook wel berichten van één dag oud.

Maar ik ben zelf toch een echte windows-user en wordt verder niet bang van dit bericht.
JeroenKooger 10 mei 2010 14:36
Wilders Security :+

Sorry, kon het niet laten...
Dennis Beekman 11 mei 2010 10:20
hahaha, dat is Windows 98se style hacking.... lol
Dat ze daar nog geen vast oplossing voor hebben 8)7

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq