W mechanizmie aktualizacji oprogramowania Malwarebytes Anti-Malware, Travis Ormandy – człowiek odpowiedziany za ostatnie doniesienia na temat luk w antywirusach – na początku listopada 2015 roku znalazł słaby punkt - piętę achillesową agentów antywirusowych przeznaczonych dla użytkowników domowych oraz biznesowych. Ten bardzo popularny w Polsce produkt, który może działać jako pełnoprawny antywirus w czasie rzeczywistym oraz jako skaner na żądane, zostanie załatany w ciągu najbliższych 3 tygodni (tak wynika z informacji na blogu producenta).

Na razie Amerykanom udało się załatać szereg luk po stronie serwera aktualizacji, większe poprawki czekają jeszcze klienta. A nowa wersja antywirusów, właściwie kolejny build planowany jest na koniec stycznia 2016 r.Travis odkrył, że program pobiera aktualizacje za pośrednictwem protokołu HTTP, które są zahardkodowane algorytmem symetrycznym RC4. Tak więc, Ormandy wykazał, że dane te mogą być łatwo rozszyfrowane przy użyciu kilku poleceń.Normalnie, MBAM pobierając aktualizacje sygnatur wykorzystuje w tym celu protokół HTTP, a nie HTTPS, dzięki czemu atakujący może wykonać atak MITM. W ramach przesyłanych danych pobierane są także pliki YAML z serwera aktualizacji http://data-cdn.mbamupdates.com. Chociaż pliki YAML zawierają informację o sumie kontrolnej plików baz danych wirusów wygenerowanych za pomocą algorytmu MD5 (a także informacje o plikach konfiguracyjnych), to atakujący może łatwo zmodyfikować je i sprawić, że antywirus pobierze aktualizacje z innego serwera HTTP i wykona je jak każdą inną aplikację (w większości przypadków) z najwyższymi uprawnieniami.

Firma Malwarebytes publicznie potwierdziła istnienie luki i zapewniła, że pracuje nad stosowną aktualizacją. Ponadto zachęca do włączenia opcji auto-ochrony MBAM, która znajduje się w ustawieniach zaawansowanych.Przeprowadzony w listopadzie 2014 test przez COSENIC wykazał, że firmy antywirusowe tworząc oprogramowanie do ochrony systemów same nie przestrzegają podstawowych zasad bezpiecznego programowania pozwalając na pobieranie (tak jak w tym przypadku) aktualizacji nieszyfrowanym protokołem. Nie wykonują dodatkowych testów bezpieczeństwa przez firmy trzecie, w efekcie, jakie są tego wyniki wszyscy wiemy. A niektóre AV – w szczególności te darmowe – nie wykonują potencjalnie złośliwego kodu w piaskownicy, w efekcie stają się niemal bezużyteczne wobec nieznanego złośliwego oprogramowania.

Szczegółowe wyniki z tego raportu.

AUTOR:

Adrian Ścibor

Podziel się