Malwarebytes Anti-Malware z lukami w mechanizmie aktualizacji – po stronie serwera i klienta

5 lutego, 2016

W mechanizmie aktualizacji oprogramowania Malwarebytes Anti-Malware, Travis Ormandy – człowiek odpowiedziany za ostatnie doniesienia na temat luk w antywirusach – na początku listopada 2015 roku znalazł słaby punkt – piętę achillesową agentów antywirusowych przeznaczonych dla użytkowników domowych oraz biznesowych. Ten bardzo popularny w Polsce produkt, który może działać jako pełnoprawny antywirus w czasie rzeczywistym oraz jako skaner na żądane, zostanie załatany w ciągu najbliższych 3 tygodni (tak wynika z informacji na blogu producenta).

Na razie Amerykanom udało się załatać szereg luk po stronie serwera aktualizacji, większe poprawki czekają jeszcze klienta. A nowa wersja antywirusów, właściwie kolejny build planowany jest na koniec stycznia 2016 r.Travis odkrył, że program pobiera aktualizacje za pośrednictwem protokołu HTTP, które są zahardkodowane algorytmem symetrycznym RC4. Tak więc, Ormandy wykazał, że dane te mogą być łatwo rozszyfrowane przy użyciu kilku poleceń.

Normalnie, MBAM pobierając aktualizacje sygnatur wykorzystuje w tym celu protokół HTTP, a nie HTTPS, dzięki czemu atakujący może wykonać atak MITM. W ramach przesyłanych danych pobierane są także pliki YAML z serwera aktualizacji http://data-cdn.mbamupdates.com. Chociaż pliki YAML zawierają informację o sumie kontrolnej plików baz danych wirusów wygenerowanych za pomocą algorytmu MD5 (a także informacje o plikach konfiguracyjnych), to atakujący może łatwo zmodyfikować je i sprawić, że antywirus pobierze aktualizacje z innego serwera HTTP i wykona je jak każdą inną aplikację (w większości przypadków) z najwyższymi uprawnieniami.

Firma Malwarebytes publicznie potwierdziła istnienie luki i zapewniła, że pracuje nad stosowną aktualizacją. Ponadto zachęca do włączenia opcji auto-ochrony MBAM, która znajduje się w ustawieniach zaawansowanych.

Przeprowadzony w listopadzie 2014 test przez COSENIC wykazał, że firmy antywirusowe tworząc oprogramowanie do ochrony systemów same nie przestrzegają podstawowych zasad bezpiecznego programowania pozwalając na pobieranie (tak jak w tym przypadku) aktualizacji nieszyfrowanym protokołem. Nie wykonują dodatkowych testów bezpieczeństwa przez firmy trzecie, w efekcie, jakie są tego wyniki wszyscy wiemy. A niektóre AV – w szczególności te darmowe – nie wykonują potencjalnie złośliwego kodu w piaskownicy, w efekcie stają się niemal bezużyteczne wobec nieznanego złośliwego oprogramowania.

Szczegółowe wyniki z tego raportu.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]