Ένα κοινό bug ασφάλειας επηρέασε τις μηχανές antivirus 3 μεγάλων εταιριών, της AVG, της McAfee και της Kaspersky, όπως ανακάλυψαν οι ερευνητές ασφαλείας της enSilo.
Το πρόβλημα εντοπίστηκε πρώτη φορά το Μάρτιο του 2015 όταν ένα από τα προϊόντα της enSilo συγκρούστηκε με ένα antivirus της AVG στο workstation ενός πελάτη. Μετά από περαιτέρω έρευνα για το θέμα, το προσωπικό της enSilo αποκάλυψε ένα bug ασφαλείας το οποίο ήταν η αιτία της ασυμβατότητας του λογισμικού.
Το bug σχετίζεται με το γεγονός ότι το antivirus της AVG δημιουργεί ένα χώρο μνήμης με πλήρη RWX (read-write-execute) προνόμια όπου τρέχει συνήθως. Για τη συγκεκριμένη έκδοση, αυτός ο χώρος μνήμης δεν ήταν τυχαίος και συχνά χρησιμοποιούταν από κοινού από άλλες εφαρμογές όπως πχ το Acrobat Reader.
Ένα ένας εισβολέας γνώριζε για αυτή την προβλέψιμη συμπεριφορά και ήξερε που ήταν αυτός ο χώρος θα μπορούσε να αναγκάσει τον κακόβουλο κώδικα του να εκτελέσει μέσα σε αυτή τη διεύθυνση και να έχει τα ίδια προνόμια. ΟΙ εισβολείς θα είχαν τη δυνατότητα να παρακάμψουν τα ενσωματωμένα χαρακτηριστικά ασφαλείας των Windows αξιοποιώντας το ίδιο το antivirus.
Οι εταιρίες ανέπτυξαν ενημερώσεις για να διορθώσουν το πρόβλημα!
Οι υπάλληλοι της AVG αφού ειδοποιήθηκαν διόρθωσαν το πρόβλημα σε λιγότερο από 2 μέρες.
Δεδομένου ότι το bug ήταν επικίνδυνο η enSilo αποφάσισε να φτιάξει ένα εργαλείο για να ελέγξει κι άλλα antivirus και τελικά αποδείχθηκε ότι το McAfee Virus Scan Enterprise version 8.8 και το Kaspersky Total Security 2015 – 15.x ήταν ευάλωτα στο ίδιο bug.
H enSilo ειδοποίησε τις δυο εταιρίες διακριτικά χωρίς να δημοσιοποιήσει το πρόβλημα και αυτές με τη σειρά τους το αντιμετώπισαν άμεσα!
