Antywirusy niedostatecznie chronią przed exploitami
Liczne produkty antywirusowe jedynie w niewielkim stopniu wykorzystują obecne w Windows blokady wykonywania danych (DEP) i losowego przyporządkowania pamięci (ASLR), aby chronić użytkowników przed atakami. Informuje o tym Brian Krebs w prowadzonym przez siebie blogu.
Liczne produkty antywirusowe jedynie w niewielkim stopniu wykorzystują obecne w Windows blokady wykonywania danych (DEP) i losowego przyporządkowania pamięci (ASLR), aby chronić użytkowników przed atakami. Informuje o tym Brian Krebs w prowadzonym przez siebie blogu.
Krebs nawiązuje do opublikowanego przed czterema tygodniami badania specjalizującej się w zabezpieczeniach firmy Secunia, według którego 16 popularnych programów takich jak przeglądarki internetowe, odtwarzacze multimediów i programy biurowe praktycznie nie używa funkcji systemu Windows chroniących przed exploitami. Można by się spodziewać, że sytuacja inaczej wygląda w przypadku produktów zabezpieczających – zwłaszcza że w skanerach antywirusowych też nierzadko zdarzają się luki. Wprawdzie DEP i ASLR można ominąć za pomocą różnych sztuczek, ale ustawiają one wyżej poprzeczkę dla skutecznych exploitów.
Krebs za pomocą programu Process Explorer.aspx ) dla Windows Visty (XP nie obsługuje ASLR) przyjrzał się wykorzystywaniu ASLR i DEP w programach awast! Home Edition, AVG Internet Security 9.0, BitDefender Internet Security 2010, ESET Smart Security 4, F-Secure Internet Security 10, Norton Internet Security 2010, Panda Internet Security 2010 i Trend Micro Internet Security 2010. Okazuje się, że nie używają one ani DEP, ani ASLR. Jedynie Microsoft Security Essentials włącza dla procesów antywirusa zarówno DEP, jak i ASLR. Poza tym inni producenci, tacy jak Avira, McAfee i Kaspersky, nie używają funkcji ochronnych dla wszystkich procesów uruchamianych przez pakiety.
Według Briana Krebsa F-Secure i BitDefender zamierzają w przyszłych wersjach włączyć obsługę DEP i ASLR. Avira również chce się tego podjąć w wersji 11, ponieważ od tego wydania program przestaje współpracować z Windows 2000, który nie dysponuje tymi mechanizmami. Panda zaimplementowała własną metodę ochronyi w związku z tym rezygnuje ze stosowania DEP i ASLR. Według deklaracji Symanteca przynajmniej w Nortonie DEP jest w zasadzie włączony, a ASLR ma się pojawić w kolejnych wersjach. Z kolei ESET uważa ochronę przed exploitami w systemie Windows za niewystarczającą. Bez zakrojonych na szeroką skalę testów ASLR może być wykorzystywany do ataków na oprogramowanie zabezpieczające.
wydanie internetowe www.heise-online.pl
