New attack bypasses virtually all AV protection
Bait, switch, exploit!
By Dan Goodin in San Francisco • Get more from this author
Posted in Security, 7th May 2010 18:17 GMT
Lời người dịch: Những người sử dụng máy tính cá nhân Windows hãy cẩn thận khi sử dụng các phần mềm diệt virus, vì chúng có khả năng là chẳng có được ích lợi gì. Theo một nghiên cứu mới đây, “Chúng tôi đã tiến hành những thử nghiệm với [hầu hết] các sản phẩm an ninh cho máy tính để bàn Windows”, các nhà nghiên cứu viết. “Các kết quả có thể được tổng kết trong một câu: Nếu một sản phẩm sử dụng các móc SSDT hoặc dạng các móc của chế độ nhân ở mức độ tương tự để triển khai các tính năng về an ninh thì nó có thể bị tổn thương. Nói một cách khác, 100% các sản phẩm được thử nghiệm đã cho thấy bị tổn thương. Các nhà nghiên cứu đã liệt kê 34 sản phẩm mà họ nói đã bị ảnh hướng đối với cuộc tấn công này, nhưng danh sách bị hạn chế bởi số lượng thời gian mà họ đã có để thí nghiệm. “Nếu không thì, danh sách này có lẽ sẽ là bất tận”, họ nói”.
Các nhà nghiên cứu nói họ nghĩ ra một cách để vượt qua được những bảo vệ được xây dựng trong hàng tá các sản phẩm chống virus phổ biến nhất cho các máy tính để bàn, bao gồm cả của McAfee, Trend Micro, AVG và BitDefender.
Phương pháp này, được phát triển bởi các nhà nghiên cứu an ninh phần mềm tại matousec.com, làm việc bằng việc khai thác các trình điều khiển móc vào các chương trình chống virus nằm chôn sâu bên trong hệ điều hành Windows. Về cơ bản, nó làm việc bằng việc gửi cho chúng một ví dụ về đoạn mã nhân từ mà vượt qua được những kiểm tra an ninh của chúng và sau đó, trước khi nó được chạy, hoán đổi nó với một đoạn mã độc hại.
Sự khai thác này sẽ được định thời gian sao cho đoạn mã nhân từ kia không được chuyển quá sớm hoặc quá muộn. Nhưng đối với các hệ thống chạy trên nhiều vi xử lý, thì cuộc tấn công kiểu “chuyển tham số” matousec này khá là tin cậy được vì một mối đe dọa là thường không có khả năng bám theo những luồng chạy cùng một lúc. Kết quả là, đa số đông những bảo vệ chống phần mềm độc hại cho các máy tính cá nhân Windows có thể bị lừa vào việc cho phép mã độc hại mà theo những điều kiện thông thường có thể bị khóa.
Tất cả những thứ cần thiết là việc các phần mềm chống virus sử dụng SSDT, hoặc các bảng mô tả dịch vụ hệ thống (System Service Descriptor Table), móc vào để sửa đổi các phần của nhân hệ điều hành.
“Chúng tôi đã tiến hành những thử nghiệm với [hầu hết] các sản phẩm an ninh cho máy tính để bàn Windows”, các nhà nghiên cứu viết. “Các kết quả có thể được tổng kết trong một câu: Nếu một sản phẩm sử dụng các móc SSDT hoặc dạng các móc của chế độ nhân ở mức độ tương tự để triển khai các tính năng về an ninh thì nó có thể bị tổn thương. Nói một cách khác, 100% các sản phẩm được thử nghiệm đã cho thấy bị tổn thương”.
Các nhà nghiên cứu đã liệt kê 34 sản phẩm mà họ nói đã bị ảnh hướng đối với cuộc tấn công này, nhưng danh sách bị hạn chế bởi số lượng thời gian mà họ đã có để thí nghiệm. “Nếu không thì, danh sách này có lẽ sẽ là bất tận”, họ nói.
Researchers say they've devised a way to bypass protections built in to dozens of the most popular desktop anti-virus products, including those offered by McAfee, Trend Micro, AVG, and BitDefender.
The method, developed by software security researchers at matousec.com, works by exploiting the driver hooks the anti-virus programs bury deep inside the Windows operating system. In essence, it works by sending them a sample of benign code that passes their security checks and then, before it's executed, swaps it out with a malicious payload.
The exploit has to be timed just right so the benign code isn't switched too soon or too late. But for systems running on multicore processors, matousec's "argument-switch" attack is fairly reliable because one thread is often unable to keep track of other simultaneously running threads. As a result, the vast majority of malware protection offered for Windows PCs can be tricked into allowing malicious code that under normal conditions would be blocked.
All that's required is that the AV software use SSDT, or System Service Descriptor Table, hooks to modify parts of the OS kernel.
"We have performed tests with [most of] today's Windows desktop security products," the researchers wrote. "The results can be summarized in one sentence: If a product uses SSDT hooks or other kind of kernel mode hooks on similar level to implement security features it is vulnerable. In other words, 100% of the tested products were found vulnerable."
The researchers listed 34 products that they said were susceptible to the attack, but the list was limited by the amount of time they had for testing. "Otherwise, the list would be endless," they said.
Kỹ thuật này làm việc ngay cả khi Windows đang chạy với một tài khoản có các quyền ưu tiên hạn chế.
Thêm nữa, khai thác này có những hạn chế của nó. Nó đòi hỏi một số lượng mã lớn được tải lên máy đích, làm cho nó không thực tế cho các cuộc tấn công dựa tren mã nguồn của vỏ hoặc các cuộc tấn công mà chúng dựa vào tốc độ và sự lén lút. Nó cũng có thể được triển khai chỉ khi một kẻ tấn công đã có được khả năng chạy một tệp nhị phân trên máy tính cá nhân đích.
Hơn nữa, kỹ thuật này có thể được kết hợp với một khai thác của đoạn phần mềm khác, ví dụ, một phiên bản bị tổn thương của Adobe Reader hoặc Java Virtual Machine của Oracle để cài đặt phần mềm độc hại mà không nảy sinh ra sự nghi ngờ đối với bất kỳ phần mềm chống virus nào mà nạn nhân đã đang sử dụng.
“Kịch bản thực tế: một số sử dụng McAfee hoặc sản phẩm bị lây nhiễm khác để làm an ninh cho các máy tính để bàn của họ”, H. D. Moore, CSO và Kiến trúc sư trưởng của dự án Metasploit, đã nói cho The Register trong một thông điệp tức thì. “Một lập trình viên phần mềm độc hại lạm dụng điều kiến loại này để vượt qua được hệ thống gọi các móc, cho phép phần mềm độc hại tự cài đặt và loại bỏ McAfee. Trong trường hợp này, tất cả sự 'bảo vệ' được đưa ra bởi sản phẩm về cơ bản là gây tranh cãi”.
Một người sử dụng mà không có các quyền quản trị cũng có thể sử dụng cuộc tấn công này để giết một phần mềm diệt virus được cài đặt và đang chạy, ngay cẩ dù chỉ các tài khoản của quản trị viên mới có khả năng làm việc này, Charlie Miller, nhà phân tích an ninh chính tại Independent Security Evaluators, nói.
Nghiên cứu của Matousec là ở đây.
The technique works even when Windows is running under an account with limited privileges.
Still, the exploit has its limitations. It requires a large amount of code to be loaded onto the targeted machine, making it impractical for shellcode-based attacks or attacks that rely on speed and stealth. It can also be carried out only when an attacker already has the ability to run a binary on the targeted PC.
Still, the technique might be combined with an exploit of another piece of software, say, a vulnerable version of Adobe Reader or Oracle's Java Virtual Machine to install malware without arousing the suspicion of the any AV software the victim was using.
"Realistic scenario: someone uses McAfee or another affected product to secure their desktops," H D Moore, CSO and Chief Architect of the Metasploit project, told The Register in an instant message. "A malware developer abuses this race condition to bypass the system call hooks, allowing the malware to install itself and remove McAfee. In that case, all of the 'protection' offered by the product is basically moot."
A user without administrative rights could also use the attack to kill an installed and running AV, even though only admin accounts should be able to do this, Charlie Miller, principal security analyst at Independent Security Evaluators, said.
Matousec.com's research is here. ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.